Cadastre-se

CADASTRO

Em caso de não possuir CPF, por favor entre em contato conosco clicando aqui.

Ao informar meus dados, eu concordo com a Política de Privacidade

ReCaptcha
Entrar

Data da publicação:

06/10/2023

Governança corporativa: princípios e boas práticas para adotar em 2025

Compartilhar

“Governança corporativa é o sistema pelo qual as empresas e as demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e as demais partes interessadas.” Essa é a definição do termo pelo Instituto Brasileiro de Governança Corporativa (IBGC), responsável por desenvolver inúmeros estudos sobre a área. 

Embora não seja um conceito tão recente para o mundo empresarial e as demais organizações, inclusive do setor público, passou a ter cada vez mais relevância à medida que a sociedade identificou a sustentabilidade e o propósito das organizações como pontos decisivos para o relacionamento e a conversão com os negócios. 

Ligada diretamente à ideia da Agenda ESG (Environmental, Social e Governance), em que é representada pelo “G” da sigla, a governança corporativa tem o objetivo de tornar as empresas e organizações mais alinhadas a um objetivo comum que contemple o desenvolvimento de seus quatro princípios: 

  1. Equidade – compreende a noção de que os negócio devem incentivar o tratamento igualitário e se comprometer a atuar ativamente em prol da questão; 
  2. Transparência é uma demanda para que as empresas e organizações priorizem a clareza de suas informações e a boa-fé em todas as suas relações, sejam elas com parceiros, colaboradores, acionistas, consumidores ou o público em geral que utiliza seus produtos e serviços; 
  3. Prestação de contas (accountability) – um princípio conectado à publicização das ações que as empresas e organizações executam; 
  4. Responsabilidade corporativa – diz respeito à necessidade de valorização de práticas corporativas sustentáveis, que representam um dos mais importantes princípios por causa do contexto.

Em outras palavras, significa dizer que a governança é o conjunto de regras e princípios que empresas e organizações adotam para serem administradas de maneira justa, transparente e eficiente.

Nesse sentido, mesmo que a compreensão da governança corporativa pareça teórica, colocá-la em prática é possível e é o que vamos mostrar aqui. Continue conosco para saber como. 

Quais são os resultados de uma empresa e das demais organizações que adotam a governança corporativa? 

Em uma análise geral, podemos dizer que o desejo de toda empresa e organização é se manter no mercado, além de entregar confiança em seus produtos e serviços, certo? Ou seja, ter longevidade. 

Para isso, atualmente, além de priorizar a qualidade dos produtos ou serviços prestados e de sua operação, o negócio precisa se atentar ao valor que entrega para a sociedade e a comunidade a seu redor. 

Se antes os consumidores de produtos e serviços pouco se inteiravam sobre a conduta de uma empresa ou organização, agora a lógica é diferente. Há mais informações do que nunca, disponíveis de uma maneira inédita em todo lugar, a todo tempo. 

Além disso, fornecedores e parceiros passaram a priorizar acordos com empresas e organizações que se preocupam com sua sustentabilidade e, consequentemente, com a sustentabilidade do ecossistema empreendedor do qual fazem parte. 

É nessa realidade de maior concorrência, clientes mais bem informados e parceiros e fornecedores preocupados de uma forma diferente com seus relacionamentos de negócio   que a governança corporativa prospera e atua. 

Podemos dizer, então, que, na prática, trata-se de uma forma de garantir a ética, a transparência e a segurança jurídica diante dos diversos públicos de uma organização. Ou seja, um guia, um manual de boas práticas para as empresas funcionarem bem e serem confiáveis. 

Dessa forma, uma corporação que adota os princípios da governança gera valor a longo prazo para suas soluções e para sua história. Há ainda outros benefícios associados a ela, como: 

  • Otimização da transparência – com a implementação da governança corporativa, há um processo de aprimoramento da transparência e da objetividade na divulgação, publicização e informação das operações da empresa, o que é especialmente importante em um mundo no qual os stakeholders, como acionistas, investidores e clientes, exigem cada vez mais informações sobre como as empresas funcionam e tomam decisões;
  • Acesso a capital – empresas com boas práticas de governança corporativa tendem a ser mais atraentes para os investidores, tornando mais fácil a captação de recursos por meio de investimentos diretos, emissão de ações ou acesso a financiamento.
  • Proteção aos minoritários – a governança corporativa também protege os direitos dos acionistas minoritários, garantindo que eles tenham voz e representação justa nas decisões da empresa, o que se faz interessante, visto que a propriedade das empresas muitas vezes é dispersa;
  • Gestão eficiente – com as estratégias de governança, tal qual a transparência e a prestação de contas; a adoção de diretrizes claras; um controle de conflitos de interesse efetivo; a redução de riscos jurídicos e reputacionais, entre outros critérios, as tomadas de decisão de uma empresa ou organização se tornam mais informadas e eficazes, o que pode melhorar o desempenho financeiro e operacional da entidade;
  • Reputação e credibilidade as empresas e as demais organizações com governança sólida geralmente desfrutam de uma reputação e credibilidade melhores, o que pode atrair clientes, parceiros de negócios e talentos qualificados.

Existem ainda outras vantagens de orientar uma empresa pelos princípios da governança, como a certeza de um processo de conformidade legal e regulatória, o que a torna extremamente necessária nos dias de hoje.

Fique por dentro: um estudo realizado pela McKinsey e NielsenIQ analisou o desempenho de faturamento de produtos que alegam ser social e ambientalmente responsáveis. De acordo com o levantamento, 60% dos entrevistados disseram que pagariam mais por um produto com embalagem sustentável. Já em outra pesquisa da NielsenIQ, 78% dos consumidores (recorte dos EUA) disseram que um estilo de vida sustentável é importante para eles.

4 dicas para implementar uma agenda de governança corporativa no dia a dia de um negócio 

Adotar a governança corporativa na prática requer um compromisso contínuo com princípios e atividades que promovam a transparência, a responsabilidade e o desempenho ético. 

Separamos, a seguir, quatro exemplos de ações que podem ser incorporadas em qualquer negócio e no dia a dia das empresas.

1) Defina e comunique valores e princípios

 Estabeleça valores e princípios éticos, além de claros, capazes de orientar o comportamento de todos na empresa. 

Comunique esses valores de forma ampla e regular, de modo que todos os funcionários entendam a cultura organizacional e saibam como devem agir.

É importante que esses valores estejam associados ao desenvolvimento não só da organização, como dos colaboradores e da comunidade. É necessário um propósito para que a empresa exista, e apenas gerar lucro não é um deles.

2) Crie estruturas de tomadas de decisão transparentes

Pensar em formas de simplificar a transparência da empresa é uma excelente maneira de implementar a governança aos negócios. Alguns departamentos e estruturas podem atuar nessa frente. 

  1.  Conselho de administração se a empresa for grande o suficiente, estabeleça um conselho de administração independente, com membros experientes e diversos. Eles podem supervisionar a gestão e fornecer orientação estratégica.
  2. Comitês – implemente comitês internos, como um comitê de auditoria ou comitê de ética, para revisar questões específicas e tomar decisões informadas.
  3. Políticas e procedimentos – desenvolva e propague políticas e procedimentos claros para a tomada de decisão, divulgação de informações e gerenciamento de riscos. Certifique-se de que todos na empresa compreendam e sigam essas políticas.

3) Dedique-se ao princípio da prestação de contas e transparência

Há diversas formas de fazer isso, como: 

  1. Relatórios financeiros – elabore relatórios financeiros precisos e auditados regularmente. Disponibilize esses documentos para os acionistas e stakeholders. Pense em uma reunião esporádica com os colaboradores para a exposição desses dados;
  2. Reuniões regulares – conversando com a dica acima, realize reuniões regulares do conselho de administração e da diretoria executiva para revisar o desempenho, discutir estratégias e tomar decisões importantes. Aqui é importante que os encontros sejam objetivos, dinâmicos e que tenham um motivo para ser realizados ninguém quer perder tempo, certo?
  3. Divulgação de informações – informe, de maneira transparente, os dados relevantes aos acionistas e ao público em geral. Isso pode incluir relatórios anuais, comunicados à imprensa e atualizações constantes sobre o desempenho da empresa.

4) Promova a ética e a responsabilidade

Como vimos, a governança corporativa dá destaque à condução ética que as empresas têm em seus diversos ramos de atuação. Por isso, uma das maneiras mais corretas de implementá-la na prática é por meio de ações voltadas para essa área. Pense em: 

  1. Treinamento em ética – ofereça treinamento em ética para todos os funcionários, com destaque para a importância de tomar decisões coerentes nas diversas áreas da empresa;
  2. Canais de denúncia – estruture canais de denúncia confidenciais para que os funcionários possam relatar preocupações éticas ou comportamento inadequado sem medo de retaliação;
  3. Cumprimento legal e regulatório – garanta que a empresa cumpra todas as leis e regulamentos relevantes, com monitoramento constante das mudanças na regulamentação e ajuste nas práticas de negócios, conforme necessário.

Leia mais: LGPD para a área de TI: como a lei impacta o setor?

Como a governança se relaciona com a TI? 

A tecnologia da informação é uma peça fundamental para permitir que as empresas desenvolvam práticas, atividades e rotinas mais sustentáveis, seguras, transparentes e rentáveis. 

Há implicações da TI no apoio à governança corporativa em várias frentes, como na otimização de processos onerosos, com base na automação, inteligência artificial e machine learning, entre outras possibilidades advindas da transformação digital, para a melhoria da experiência de consumo de produtos, serviços e informações,  por meio do desenvolvimento de sistemas acessíveis, disponíveis e escaláveis. 

Para que as organizações atinjam esse objetivo, ainda é imprescindível um departamento sólido de cibersegurança, responsável por proteger os dados do negócio e de seus principais agentes. Ou seja, a TI viabiliza a governança corporativa de diversas formas. 

Por aqui, já abordamos os detalhamentos dessa relação em um blog post exclusivo.  

Leia: 5 dicas para crescer na carreira de governança de TI

Conclusão 

A governança corporativa deixou de ser uma opção das empresas para se traduzir como uma necessidade imperativa no cenário de negócios atual. Nesse contexto, é a tecnologia da informação que viabiliza uma base sobre a qual a sustentabilidade, a segurança, a transparência e a rentabilidade podem ser aprimoradas

Veja como esse tema é abordado no curso da ESR – “Governança de TI com Cobit 2019”. Inscreva-se e torne-se especialista na questão. 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

posts recentes

  • Gestão de contratos de TI: 5 erros que drenam o orçamento das empresas
    Governança de TI

    Gestão de contratos de TI: 5 erros que drenam o orçamento das empresas

    É comum que a gestão de contratos de TI ganhe atenção quando o orçamento começa a apresentar sinais de desgaste. Na maioria dos casos, esse desgaste não decorre de falhas isoladas, mas do acúmulo de decisões contratuais pouco estruturadas ao longo do tempo. Cláusulas pouco específicas, índices de reajuste mal definidos, ausência de métricas de desempenho e contratos fragmentados criam um cenário no qual os custos aumentam sem visibilidade proporcional. Análises de mercado sobre governança de TI e procurement (aquisição) indicam que uma parcela relevante do desperdício orçamentário em tecnologia está associada à má gestão contratual, seja por ausência de monitoramento, seja por fragilidades na negociação inicial. Na prática, isso significa que o orçamento de TI não é comprometido apenas por investimentos mal planejados, mas por contratos que operam sem controle efetivo. Para gestores que precisam justificar cada investimento e profissionais que lidam diretamente com fornecedores, esse cenário cria um problema recorrente – o contrato não se apresenta como um instrumento de proteção financeira, atuando, na verdade, como fonte de risco. Ao longo deste conteúdo, vamos analisar cinco erros frequentes na gestão de contratos de TI que impactam diretamente o orçamento e aprender a corrigi-los com uma abordagem mais estratégica. Cinco erros na gestão de contratos de TI que aumentam custos e reduzem controle A gestão de contratos de TI influencia diretamente a previsibilidade financeira, a qualidade dos serviços solicitados e a capacidade de negociação com fornecedores. Quando contratos de tecnologia são estruturados sem critérios claros de desempenho, controle e revisão, passam a gerar custos recorrentes que não estão necessariamente associados à entrega de valor. Os erros a seguir aparecem com frequência em ambientes corporativos e afetam desde a execução operacional até a governança de TI e o compliance contratual. 1. SLAs sem penalidade real Acordos de nível de serviço (Service Level Agreement – SLA) são cláusulas contratuais que definem os padrões mínimos de desempenho que um fornecedor deve cumprir. Esses acordos estabelecem indicadores como disponibilidade do serviço, tempo de resposta, prazo para resolução de incidentes e parâmetros técnicos de qualidade, como latência, taxa de erro e velocidade. No contexto de serviços contínuos, como telecomunicações e infraestrutura de rede, a disponibilidade se torna um dos principais indicadores. Ela representa o percentual de tempo em que o serviço permanece operacional. A relação é direta: Disponibilidade = 1 – Indisponibilidade[1]  Um serviço com 99,9% de disponibilidade, por exemplo, pode ficar indisponível por até 8,76 horas ao longo de um ano. Quando esse serviço depende de múltiplos componentes (como acessos locais e backbone), a disponibilidade total se reduz, podendo chegar a cerca de 99,7%, o que representa mais de 26 horas de indisponibilidade anual. Esse tipo de variação raramente é considerado na negociação inicial. Até porque a disponibilidade não é o único fator relevante. Um sistema pode continuar “ativo” e ainda assim operar com degradação, velocidade reduzida, aumento de erros ou latência elevada, impactando diretamente a operação sem necessariamente ser classificado como indisponível. O risco se intensifica quando esses indicadores não estão vinculados a penalidades proporcionais ao impacto da falha. Sem consequência financeira relevante, o fornecedor não possui incentivo econômico para manter o nível de serviço acordado. Como resultado, o custo da indisponibilidade ou da degradação recai sobre a empresa contratante, fazendo com que o SLA perca sua função como instrumento de controle. Esse desequilíbrio mantém o compromisso formal, mas não protege a operação. Em uma estratégia de gestão de contratos de TI orientada à governança de TI, o SLA precisa ser estruturado como mecanismo ativo de proteção financeira e operacional. Isso envolve: ●  Métricas objetivas, auditáveis e alinhadas ao impacto no negócio; ●  Definição clara de indisponibilidade e de níveis de degradação do serviço; ●  Critérios transparentes de medição (incluindo serviços compostos por múltiplos componentes); ●  Penalidades proporcionais ao impacto financeiro e operacional; ●  Prazos definidos para resposta e resolução de incidentes; ●  Cumulação do histórico de indisponibilidade ao longo dos meses, impedindo que o saldo seja zerado mensalmente. Além da definição contratual, a gestão precisa atuar no acompanhamento contínuo desses indicadores, ou seja, monitorar o desempenho real, validar medições, registrar desvios e acionar mecanismos de compensação sempre que necessário. Sem esse acompanhamento, o SLA permanece como um número no contrato. Com gestão ativa, ele opera como instrumento de controle, negociação e proteção do orçamento. 2. Ausência de cláusulas de saída e o risco de vendor lock-in A entrada em contratos de tecnologia costuma receber mais atenção do que a saída. Esse desequilíbrio é um dos motivadores de um dos riscos mais relevantes na gestão de contratos de TI: o vendor lock-in. Vendor lock-in ocorre quando a substituição de um fornecedor se torna tecnicamente complexa, financeiramente onerosa ou operacionalmente arriscada. Um cenário diretamente relacionado com a forma como o contrato foi estruturado. Cláusulas de rescisão pouco detalhadas, ausência de regras para a portabilidade de dados e falta de previsão de suporte na transição limitam a capacidade de decisão da empresa ao longo do tempo. Na prática, isso pode envolver: ●  Dificuldade de extrair dados em formatos utilizáveis; ●  Custos adicionais não previstos para migração; ●  Dependência de tecnologias proprietárias; ●  Ausência de suporte no encerramento do contrato. O impacto mais relevante, no entanto, aparece na perda do poder de negociação. Sem alternativas viáveis, a empresa tende a manter contratos mesmo diante de condições desfavoráveis. Dentro da governança de TI, a cláusula de saída precisa garantir: ●  Prazos e condições claras de rescisão; ●  Portabilidade de dados em formatos estruturados; ●  Suporte técnico durante a transição; ●  Transparência sobre custos de encerramento. A capacidade de saída preserva a flexibilidade estratégica e evita a dependência contratual. 3. Reajustes contratuais sem limite e sem previsibilidade Cláusulas de reajuste são comuns em contratos de tecnologia, mas sua estrutura impacta diretamente o controle financeiro. O uso de índices como IGP-M ou IPCA é recorrente. O problema surge quando esses reajustes não possuem limite ou critério de revisão. Em cenários de variação econômica, os valores podem crescer de forma desproporcional à entrega do serviço. Há, assim, um descolamento entre custo e valor, com reflexos diretos no aumento acumulado ao longo do tempo, dificuldade de prever custos futuros, pressão sobre o orçamento de TI e redução da capacidade de investimento. Esse efeito é ainda mais devastador em contratos de longa duração, nos quais reajustes sucessivos ampliam o impacto financeiro. Uma gestão de contratos de TI orientada à previsibilidade deve considerar: ●  Definição do teto de reajuste (price cap); ●  Escolha adequada do índice de correção; ●  Revisão periódica das condições contratuais; ●  Alinhamento entre reajuste e desempenho do serviço. 4. Uso descentralizado de tecnologia e ausência de controle contratual (shadow IT) O uso corporativo de tecnologia se expandiu para além da área de TI, permitindo que diferentes departamentos contratem ferramentas de forma independente. Esse movimento, conhecido como shadow IT, impacta diretamente a gestão de contratos de TI. Sem controle centralizado, contratos são firmados de forma isolada, sem padronização ou visibilidade consolidada. As desvantagens dessa abordagem aparecem na operação e no orçamento com contratação duplicada de soluções, pagamento por licenças não utilizadas, ausência de negociação estratégica com fornecedores e dificuldade de consolidar custos. Além disso, a falta de visibilidade compromete a aplicação de políticas de governança de TI, já que não há controle completo sobre o ambiente tecnológico. Com isso, os riscos relacionados com a segurança da informação e o compliance também aumentam exponencialmente. Para mitigar esses efeitos, é necessário: ●  Centralizar processos de contratação; ●  Manter o inventário de ativos e contratos atualizado; ●  Padronizar fornecedores e critérios de aquisição; ●  Acompanhar o uso e o custo das soluções. 5. Falta de centralização e monitoramento dos contratos Em geral, contratos de TI estão distribuídos entre diferentes áreas, sistemas e responsáveis. Essa fragmentação reduz a eficiência da gestão de contratos de TI e compromete a tomada de decisão. Sem a centralização, torna-se difícil acompanhar informações críticas como prazos, valores e níveis de serviço, bem como há: ●  Perda de prazos de renovação ou renegociação; ●  Renovações automáticas sem análise estratégica; ●  Dificuldade de avaliar o desempenho de fornecedores; ●  Ausência de indicadores consolidados de custo. Nesse contexto, os contratos continuam ativos sem revisão de sua aderência às necessidades da organização. Quando não há integração entre TI, jurídico, financeiro e procurement (aquisição), o cenário se torna um pouco mais desafiador. Por isso, uma boa e estruturada abordagem de governança de TI exige: ●  Centralização das informações contratuais; ●  Acompanhamento contínuo de prazos e condições; ●  Análise periódica de desempenho e custos; ●  Integração entre as áreas envolvidas. A visibilidade permite transformar contratos em instrumentos de gestão. Como corrigir falhas na gestão de contratos de TI com uma abordagem estratégica Os erros analisados anteriormente não ocorrem de forma isolada. Em muitos casos, eles coexistem dentro da mesma organização e se reforçam mutuamente, criando um ambiente em que custos, riscos operacionais e fragilidade contratual evoluem em paralelo. Corrigir esse cenário exige mais do que ajustes pontuais em cláusulas específicas. A gestão de contratos de TI precisa ser tratada como uma prática contínua, integrada à governança de TI, à gestão financeira e à operação. Isso implica estruturar um modelo capaz de sustentar não só uma boa negociação inicial, mas também acompanhamento, revisão e reação ao longo de todo o ciclo de vida contratual. Anteriormente, mostramos os riscos que impactam o orçamento das empresas e deles retiramos também as dicas para uma gestão de contratos de TI eficiente: Resumo dos erros e de como corrigi-los na gestão de contratos de TI Após analisar os riscos e as formas de correção, é possível consolidar os principais pontos em uma visão comparativa.  Esse tipo de estrutura facilita decisões rápidas e reforça o papel estratégico da gestão de contratos de TI dentro da governança de TI. Erro identificado Impacto no orçamento Como corrigir SLAs sem penalidade real Alto Vincular métricas a penalidades financeiras proporcionais Ausência de cláusula de saída (vendor lock-in) Alto Definir condições de transição, portabilidade e encerramento Reajustes sem controle (sem price cap) Médio/Alto Estabelecer limites e critérios claros de reajusteIncluir a gestão de ativos e shadow IT Falta de gestão de ativo Médio/Alto Integrar contratos ao inventário e ao uso real de recursos Fragmentação e falta de centralização Médio Criar repositório único e automatizar alertas contratuais Gestão de contratos de TI como instrumento de controle financeiro Ao longo do texto, vimos que os erros apresentados têm um ponto em comum – eles não surgem por desconhecimento absoluto, mas por lacunas na forma como os contratos são interpretados, acompanhados e utilizados no dia a dia. A maioria das organizações, embora possuam contratos formalmente estruturados, lida com a ausência de capacidade para extrair deles inteligência operacional. É essa lacuna que explica por que as cláusulas existem, mas não protegem. Por isso, a gestão de contratos de TI, nesse nível, não pode ser tratada como uma atividade documental. Deve ser encarada por gestores e profissionais de TI como uma competência técnica, que exige a leitura crítica de cláusulas, o entendimento de métricas de desempenho, a capacidade de relacionar contratos com arquitetura tecnológica e o domínio sobre como essas variáveis impactam o orçamento ao longo do tempo. Sem esse repertório, a empresa pode conseguir negociar, mas não vai sustentar a negociação. Em outras palavras, a gestão contratual não é só um processo operacional, ela demanda uma formação especializada. Se sua empresa já enfrenta pressão sobre orçamento, dificuldade em renegociar contratos ou baixa previsibilidade de custos, o desafio está nos contratos existentes e na capacidade de operá-los com precisão técnica. A Escola Superior de Redes estruturou a formação em Gestão de Contratos de TI para desenvolver exatamente essa competência: conectar cláusulas, desempenho e impacto financeiro dentro de um modelo aplicável à realidade das organizações.  Conheça a formação e prepare sua equipe para atuar com mais controle, previsibilidade e poder de negociação FAQ – Perguntas frequentes sobre Gestão de contratos de TI 1 – O que é gestão de contratos de TI? É o conjunto de práticas utilizadas para planejar, negociar, acompanhar e revisar contratos relacionados com serviços e soluções de tecnologia, garantindo controle financeiro, conformidade e desempenho. 2 – Como a gestão de contratos de TI ajuda a reduzir custos? Ao permitir visibilidade das cláusulas, uso real de serviços, reajustes e desempenho de fornecedores, a gestão contratual evita desperdícios, renovações indevidas e pagamentos por serviços não entregues conforme o contratado. 3 – O que é SLA em contratos de TI? Service Level Agreement (SLA) é um acordo que define os níveis mínimos de serviço, como disponibilidade e tempo de resposta, além de critérios de medição e, quando bem estruturado, penalidades por descumprimento. 4 – O que é vendor lock-in em contratos de tecnologia? É a situação em que a empresa se torna dependente de um fornecedor, enfrentando dificuldades técnicas ou financeiras para migrar serviços ou encerrar o contrato. 5 – Quais são os principais erros em contratos de TI? Entre os mais comuns estão: SLAs sem penalidade, ausência de cláusula de saída, reajustes sem controle, falta de gestão de ativos e contratos descentralizados. 6 – Quem deve ser responsável pela gestão de contratos de TI? A responsabilidade deve ser compartilhada entre áreas de TI, jurídico, financeiro e procurement, com definição clara de papéis dentro da governança de TI. Quero conhecer melhor a formação de Gestão de Contratos de TI da ESR


    02/07/2026
  • Por que a nuvem ficou cara? O papel do edge computing nos custos de TI.
    Computação em Nuvem

    Por que a nuvem ficou cara? O papel do edge computing nos custos de TI. 

    O edge computing é um modelo de arquitetura em que o processamento ocorre próximo à origem dos dados, em dispositivos, sensores ou unidades locais, reduzindo a necessidade de envio contínuo para ambientes centralizados de cloud computing (computação em nuvem) e, consequentemente, os custos das operações digitais. Esse modelo surge como resposta direta a esse aumento do custo de computação em nuvem, especialmente em ambientes com alto volume de dados, baixa tolerância à latência de rede e necessidade de processamento contínuo.  Durante anos, o modelo de cloud computing foi adotado como padrão para escalar operações e reduzir investimento em infraestrutura própria.  No entanto, com o crescimento de dados gerados por aplicações, dispositivos IoT e inteligência artificial, a centralização passou a gerar um efeito inesperado, o aumento progressivo dos custos operacionais.  Empresas que migraram grande parte de suas operações para provedores, como AWS, Azure e Google Cloud, passaram a relatar aumentos expressivos na fatura mensal, em muitos casos associados não só ao armazenamento, mas ao tráfego de dados (egress) e processamento contínuo.  Por esse motivo, relatórios de mercado e análises recentes começaram a apontar movimentos de cloud repatriation, em que organizações revisam suas estratégias para reduzir a dependência de processamento centralizado e conter custos operacionais.  Nesse contexto, a descentralização de dados passou a ser apresentada como uma estratégia para equilibrar custo, desempenho e eficiência operacional. Ao longo deste conteúdo, vamos explorar este universo, explicado onde, de fato, estão os principais custos da nuvem por que a centralização amplia esses custos em determinados cenários como o edge computing contribui para uma arquitetura mais eficiente e de que forma esse modelo se conecta com estratégias modernas de infraestrutura  Este conteúdo complementa o primeiro post sobre edge computing da ESR, aprofundando a discussão sob a perspectiva financeira e arquitetural. Boa leitura. Onde realmente está o custo da computação em nuvem A lógica do cloud computing se consolidou nos anos 2000 com a proposta de substituir data centers próprios por um modelo escalável e sob demanda. Naquele momento, o volume de dados era limitado às aplicações menos distribuídas e o processamento em tempo real não era dominante. A centralização funcionava bem nesse cenário e se popularizou. Inclusive, relatórios de mercado ainda apontam que o setor de cloud mantém o crescimento acelerado, com taxas próximas a 19% ao ano até o final da década. Contudo, com a evolução tecnológica, especialmente com edge computing para IoT, IA e sistemas em tempo real, o volume e o fluxo de dados cresceram de forma contínua, no entanto, o modelo cloud continuou centralizado. E foi nessa assimetria que o custo da nuvem tomou forma, com um impacto financeiro que costuma ficar escondido nas descrições do tráfego e da manutenção de dados. Para entender essa dinâmica, é necessário observar onde os gastos realmente se concentram dentro dessa nova arquitetura. Dividimos os principais vetores da seguinte forma: 1. Custos de egress na nuvem (saída de dados) O modelo de precificação dos provedores de cloud costuma adotar uma estratégia comercial clara: a entrada de dados (ingress) é gratuita ou extremamente barata, mas a saída de dados (egress) é altamente taxada. Na prática, isso significa que toda vez que um sistema consome dados fora do ambiente da nuvem, seja para integração com outras aplicações, seja para processamento distribuído ou mesmo visualização, há um custo associado. Esse comportamento se intensifica em arquiteturas mais conectadas. APIs, microsserviços, ambientes multicloud e aplicações em tempo real ampliam significativamente o volume de tráfego. O resultado é um padrão pouco intuitivo em que, quanto mais o ambiente evolui em termos de integração e distribuição, maior tende a ser o custo de egress. Em operações com alto volume de requisições, esse componente não é apenas um detalhe técnico, mas representa uma parcela relevante do custo de computação em nuvem, tornando-a uma das maiores e mais imprevisíveis vilãs do orçamento de TI. 2. Custo de armazenamento em nuvem e acúmulo contínuo A centralização também impacta diretamente a forma como os dados são armazenados. A lógica inicial do cloud computing parte do princípio de que armazenar é barato e escalável. Em muitos casos, isso se sustenta no curto prazo. O problema aparece na ausência de critérios. Sem políticas claras de retenção, classificação e descarte, o ambiente passa a crescer por inércia operacional. Dados que não geram valor continuam sendo mantidos não por decisão estratégica, mas por falta de governança. Isso inclui: Esse acúmulo cria um crescimento progressivo do custo de armazenamento em nuvem, que se soma ao custo de acesso e processamento desses mesmos dados. Mais do que volume, o ponto crítico aqui é a falta de relação entre armazenamento e valor gerado. 3. Latência de rede e custo operacional indireto Nem todo impacto da centralização se dá efetivamente na fatura. A latência de rede introduz um tipo de custo que se manifesta na operação. Quando o processamento ocorre distante da origem do dado, o tempo de resposta aumenta. Em aplicações que dependem de baixa latência, como edge computing para IoT, monitoramento em tempo real ou automação industrial, esse fator passa a limitar a eficiência do sistema. Para compensar esse efeito, a infraestrutura precisa se adaptar ao aumento de largura de banda, à implementação de redundâncias e aos ajustes na arquitetura para manter a estabilidade. Esse esforço gera custo indireto e, em muitos casos, reduz a previsibilidade da operação. O problema, portanto, não está apenas na distância física, mas na dependência de um modelo em que todo o processamento relevante precisa atravessar a rede antes de o fato ocorrer. Por exemplo, na indústria 4.0, a demora de resposta da rede impede a automação em tempo real, gerando desperdício de matéria-prima ou paradas na linha de produção. 4. Dependência de provedores cloud e rigidez arquitetural À medida que mais camadas da operação passam a depender de um ambiente centralizado, a flexibilidade da arquitetura diminui. A dependência de provedores de cloud não se manifesta apenas em termos contratuais, mas na forma como os sistemas são construídos e integrados, impactando a: Esse cenário também se conecta a movimentos como cloud repatriation, em que empresas revisam suas estratégias para reduzir a exposição a custos variáveis e recuperar parte do controle sobre sua infraestrutura. Quando analisados em conjunto, esses fatores mostram que o custo de computação em nuvem não está concentrado em um único elemento. Ele emerge da forma como os dados são gerados, movimentados, armazenados e processados dentro de uma arquitetura centralizada. Essa relação entre fluxo de dados, latência de rede e dependência estrutural é o que abre espaço para modelos de descentralização de dados. O edge computing, por exemplo, é analisado não como substituto da nuvem, mas como uma forma de reorganizar o processamento, aproximando-o da origem e reduzindo o custo total da operação. Por que o edge computing reduz o custo de computação em nuvem? A discussão sobre custo muda de direção quando se observa o fluxo real dos dados dentro da arquitetura. Em modelos centralizados, praticamente tudo percorre o mesmo caminho – é gerado em um ponto, enviado à nuvem, processado e devolvido à origem ou a outro sistema. Esse ciclo, repetido em alta frequência, sustenta boa parte do custo de computação em nuvem, especialmente em ambientes com grande volume de transações. O edge computing altera essa lógica ao redistribuir o processamento. Parte das decisões não depende mais da nuvem e ocorre próxima de onde o dado é gerado (na borda). Trata-se de uma mudança que não elimina o uso de cloud, mas reduz a intensidade com que a infraestrutura central é acionada. Em linhas gerais, isso afeta diretamente os elementos que mais pressionam o orçamento. Em vez de trafegarem continuamente, os dados passam por uma camada de filtragem local. Informações que não geram valor imediato deixam de ser transmitidas, enquanto eventos relevantes são processados no momento em que ocorrem. A borda atua como um filtro inteligente. Dispositivos de edge processam, limpam e agregam os dados localmente. Como consequência, há uma redução consistente nos custos de egress na nuvem e no volume de dados guardados, impactando o orçamento de armazenamento em nuvem de forma progressiva. Esse ajuste também reorganiza o comportamento da rede. A latência de rede, que antes era uma limitação estrutural, não influencia decisões operacionais críticas.  Sistemas que dependem de resposta imediata, como automação, monitoramento contínuo ou aplicações baseadas em edge computing para IoT, passam a operar com menor dependência de comunicação remota. Isso reduz não apenas o tempo de resposta, mas a necessidade de compensações técnicas que aumentam o consumo de recursos. Ao mesmo tempo, a arquitetura ganha equilíbrio. Em vez de concentrar todas as funções em um único ambiente, o processamento é distribuído de acordo com a natureza do dado.  A borda assume o tratamento de alto volume e baixa latência, enquanto a nuvem mantém seu papel em análise, armazenamento estratégico e escalabilidade. Esse arranjo, característico de uma arquitetura híbrida de TI, melhora a otimização de infraestrutura de TI porque alinha custo e uso real.  A nuvem não é mais usada para tarefas que não exigem centralização, o que reduz a pressão sobre recursos e limita o crescimento descontrolado dos custos de cloud computing. Assim, a diferença entre os modelos vai além da tecnologia adotada, abrangendo a forma como o fluxo de dados é tratado. Quanto mais dependente de trânsito contínuo a arquitetura for, maior tende a ser o custo. Ao aproximar processamento e origem, o edge reduz essa dependência e, com ela, o impacto financeiro. Descentralização de dados como estratégia de controle A redução de custos expõe uma consequência mais ampla da gestão de TI: controle. Quando toda a operação depende de um núcleo centralizado, qualquer variação –técnica, contratual ou regulatória – tende a afetar o ambiente como um todo. Nesses casos, a arquitetura responde a fatores externos com pouca margem de ajuste. Ao contrário, a descentralização de dados, viabilizada pelo edge computing, redistribui essa dependência. Com uma infraestrutura fragmentada, parte da operação deixa de ficar restrita exclusivamente aos provedores de cloud.  Cargas críticas podem ser mantidas localmente, serviços permanecem disponíveis mesmo diante de instabilidades externas e decisões técnicas ganham mais autonomia.  Esse movimento reduz a exposição à dependência de provedores cloud, que frequentemente limita a negociação, a flexibilidade e a evolução arquitetural. Custo, arquitetura e decisão técnica caminham juntos Percebemos, enfim, que o aumento do custo de computação em nuvem não pode ser analisado isoladamente. Ele reflete a forma como os dados circulam, são armazenados e processados dentro da arquitetura. O edge computing reorganiza essa dinâmica ao aproximar o processamento da origem e reduzir dependências desnecessárias. Com isso, o impacto não se limita à redução de custos: envolve também ganho de eficiência, maior previsibilidade e ampliação do controle técnico sobre a operação; por exemplo, aplicações exigem respostas em tempo real, como IoT, veículos autônomos etc. A decisão mais relevante, portanto, não está em escolher entre borda ou nuvem, mas em definir em qual ambiente cada dado deve ser processado para gerar valor com o menor custo possível. Infraestruturas ineficientes não surgem por falta de tecnologia, mas por decisões arquiteturais desalinhadas ao comportamento dos dados. Projetar ambientes que equilibrem edge computing, cloud e infraestrutura distribuída exige domínio técnico. É exatamente esse o diferencial que separa operações eficientes de ambientes com custo crescente. Além disso, o custo, a arquitetura e a escolha técnica caminham juntos, pois as decisões arquiteturais são também financeiras, nas quais o desenho técnico de um sistema e a sustentabilidade econômica de uma empresa são diretamente dependentes. Escolher entre nuvem pura, borda pura ou um modelo híbrido exige uma análise profunda de Gestão Financeira de Nuvem (FinOps).  O edge computing prova que, muitas vezes, para escalar de forma eficiente e barata, o melhor caminho não é centralizar o poder em um único lugar, mas, sim, distribuí-lo de forma inteligente pelas extremidades da rede. A Escola Superior de Redes (ESR) forma profissionais capazes de estruturar arquiteturas modernas, reduzir desperdícios em cloud e tomar decisões técnicas com impacto direto no orçamento. Desenvolva a capacidade de projetar, analisar e otimizar ambientes distribuídos com precisão com as Trilhas de Conhecimento da ESR FAQ – Perguntas frequentes sobre edge computing e custo de computação em nuvem 1 – O que é edge computing? É um modelo de arquitetura que realiza o processamento de dados próximo à origem, reduzindo a necessidade de envio contínuo para a nuvem. 2 – Como o edge computing reduz custos em TI? Ao diminuir o volume de dados trafegados, reduzir o armazenamento desnecessário e otimizar o uso de recursos de cloud. 3 – O que são custos de egress na nuvem? São cobranças associadas à saída de dados do ambiente cloud para outros sistemas, aplicações ou usuários. 4 – Quando o edge computing é mais indicado? Em cenários com alto volume de dados, necessidade de baixa latência e processamento contínuo, como IoT e aplicações em tempo real. 5 – Edge computing substitui o cloud computing? Não. Ele compõe uma arquitetura híbrida, em que cada ambiente assume funções específicas. 6 – O que é cloud repatriation? É o movimento de migrar cargas da nuvem para ambientes próprios ou distribuídos, buscando reduzir custos e aumentar o controle sobre a infraestrutura. Quero conhecer as formações da ESR


    25/06/2026
  • 10 riscos da inteligência artificial para empresas: como está sua governança?
    Inteligência Artificial

    10 riscos da inteligência artificial para empresas: como está sua governança?

    Os riscos da inteligência artificial para empresas estão diretamente relacionados com a forma como essas tecnologias são incorporadas ao cotidiano corporativo – muitas vezes sem critérios definidos de uso, controle e validação.  A adoção de soluções baseadas em IA, especialmente ferramentas generativas, como ChatGPT e Claude, entre outras, ampliou a capacidade operacional das organizações em diversas frentes, desde a produção de conteúdo até a análise de dados e o suporte à tomada de decisão, um avanço que ocorreu em ritmo superior à estruturação de regras internas capazes de orientar seu uso. Para entender esse contexto, é importante considerar que, embora a inteligência artificial não tenha surgido recentemente, a forma como ela evoluiu e passou a ser utilizada mudou exponencialmente nos últimos anos. Aplicações que antes estavam restritas a projetos específicos ganharam escala e acessibilidade, sendo utilizadas por equipes diversas no dia a dia. Esse movimento, inclusive, já era observado em iniciativas anteriores ligadas a machine learning e análise de dados, como discutido por nós aqui:  Na prática, isso repercutiu nas ferramentas de IA já inseridas em processos internos, análises e decisões relevantes, enquanto muitas empresas ainda não estabeleceram:  Assim, há um cenário que cria uma dinâmica recorrente, na qual a tecnologia opera dentro da organização antes que exista um modelo formal de governança de IA capaz de orientar seu uso.  A partir desse ponto, os riscos se tornam concretos, uma vez que, sem diretrizes claras, a utilização de IA ocorre de forma distribuída e pouco visível para as áreas responsáveis por tecnologia, segurança da informação e compliance.  Nesse contexto, dados corporativos podem ser inseridos em plataformas externas, decisões passam a depender de sistemas automatizados e processos críticos incorporam respostas cuja origem nem sempre é rastreável. O ponto central, portanto, não é a tecnologia em si, mas a ausência de critérios que definam como ela deve ser utilizada dentro da organização.  Como resposta a esse cenário, algumas iniciativas regulatórias têm tomado forma. No Brasil, por exemplo, projetos de lei em discussão buscam estabelecer parâmetros para o uso da inteligência artificial, incluindo princípios de transparência, responsabilização e gestão de riscos. Isso indica que, além dos impactos operacionais e éticos, o uso de IA também passa a envolver obrigações legais.  Diante dessas questões, estruturar uma governança de IA é uma medida necessária e urgente para alinhar inovação, segurança e responsabilidade.  Sua empresa está pronta para esse novo momento?  Ao longo deste conteúdo, você verá:  Riscos operacionais e estratégicos da IA nas empresas A inclusão da inteligência artificial no ambiente corporativo introduz uma série de riscos que não se limitam à tecnologia em si, mas se estendem à forma como dados, processos e decisões passam a ser conduzidos. Esses riscos costumam surgir de maneira gradual, à medida que o uso da IA se expande dentro da organização sem diretrizes claras. A seguir, estão os principais pontos de atenção que os gestores precisam considerar ao avaliar o uso da IA em suas operações. 10 riscos da inteligência artificial para as empresas O uso corporativo da IA envolve um conjunto de exposições que, em muitos casos, não são percebidas no momento da adoção da ferramenta, mas se manifestam na operação, na segurança e na governança ao longo do tempo. 1. Uso de dados sensíveis em ferramentas públicas Funcionários podem inserir informações estratégicas, dados pessoais ou documentos internos em plataformas abertas de IA. Esse tipo de prática tende a resultar em perda de controle sobre dados corporativos, especialmente quando não há clareza sobre como essas informações são armazenadas, processadas ou reutilizadas pelos provedores.  2. Falta de rastreabilidade nas decisões Resultados gerados por IA nem sempre permitem identificar com precisão quais dados foram utilizados ou qual lógica levou àquela resposta. Isso dificulta auditorias, compromete a transparência e cria obstáculos relevantes em ambientes regulados. Esse risco ganha dimensão concreta quando se observa a ocorrência de conteúdos inteiramente fabricados por modelos generativos. Há registros recentes no Judiciário brasileiro em que decisões e fundamentos inexistentes foram apresentados em processos, gerando sanções por litigância de má-fé. Casos como esses evidenciam um ponto crítico – quando não há rastreabilidade, não há como validar a origem da informação nem sustentar sua confiabilidade. 3. Dependência de respostas não verificadas A ausência de rastreabilidade se conecta diretamente a outro problema: a incorporação de respostas sem validação. Modelos generativos produzem conteúdos com alto grau de coerência linguística, o que facilita sua aceitação como verdade. No entanto, essa plausibilidade não garante precisão. Quando essas respostas são integradas a relatórios, pareceres ou decisões internas sem revisão técnica, o erro deixa de ser pontual e passa a compor o fluxo operacional da empresa. O risco, nesse caso, não está apenas na resposta incorreta, mas na confiança atribuída a ela. 4. Shadow IT ampliada pelo uso de IA O uso de IA se reflete em uma nova camada de Shadow IT, conceito que descreve tecnologias adotadas fora da governança formal da área de TI. Na prática, colaboradores acessam ferramentas diretamente, sem avaliação prévia de segurança, compliance ou integração com os sistemas corporativos. Esse movimento fragmenta o ambiente tecnológico da organização. Diferentes áreas utilizam soluções distintas, com níveis variados de proteção, armazenamento e processamento de dados. O resultado é perda de visibilidade sobre o que está em uso, dificuldade de aplicar políticas de segurança e ausência de controle de como informações corporativas circulam fora dos ambientes oficiais. 5. Exposição a riscos de segurança da informação A utilização de IA fora de diretrizes estruturadas de governança de IA compromete diretamente os controles de segurança da informação. Dados podem ser transferidos para ambientes externos, processados por terceiros e armazenados fora das políticas definidas pela organização, o que entra em conflito com práticas alinhadas a normas como a ISO/IEC 27001. Nesse contexto, o problema não está apenas na tecnologia, mas na quebra de controles já estabelecidos. A IA cria novos fluxos de dados que, se não forem mapeados e protegidos, ampliam a superfície de exposição a incidentes. 6. Decisões automatizadas sem supervisão adequada A incorporação de IA em processos internos altera a forma como decisões são produzidas. Quando não há definição clara de revisão humana, sistemas automatizados passam a influenciar resultados sem que exista validação proporcional ao impacto da decisão. Em áreas como jurídico, financeiro ou atendimento, isso pode significar desde recomendações equivocadas até respostas incorretas para clientes ou análises inconsistentes utilizadas como base para decisões estratégicas. O risco se intensifica quando a automação ocorre de forma silenciosa, sem que a organização tenha mapeado em que setor a IA está sendo utilizada. 7. Viés algorítmico e impacto reputacional Modelos de IA refletem padrões presentes nos dados com os quais foram treinados. Isso inclui vieses históricos, distorções e desigualdades que podem ser reproduzidas nas respostas e decisões geradas. Em ambientes corporativos, esse risco se manifesta em processos de seleção, análise de crédito, priorização de atendimento ou qualquer outro contexto em que a IA interfira na tomada de decisão. Além das implicações éticas, há impacto direto na reputação da empresa e possibilidade de questionamentos legais, especialmente em cenários que envolvem discriminação ou tratamento desigual. 8. Falta de definição de responsabilidade A utilização de IA introduz um problema recorrente: a indefinição sobre quem responde pelos resultados. Quando uma decisão envolve tecnologia, múltiplos agentes participam do processo: o usuário solicitante, a área responsável pela implementação, o fornecedor da ferramenta e a própria organização. Sem uma política de uso de IA que estabeleça responsabilidades, qualquer falha gera incerteza sobre a accountability (responsabilidade), o que dificulta respostas rápidas, gestão de incidentes e defesa jurídica. 9. Desalinhamento com exigências regulatórias O uso corporativo da IA precisa dialogar com um conjunto crescente de normas relacionadas com a proteção de dados, a segurança da informação e a transparência. Sem diretrizes claras, a utilização dessas ferramentas pode violar os princípios da Lei Geral de Proteção de Dados (LGPD), especialmente em relação ao tratamento de dados pessoais, à finalidade e à transparência. Além disso, como dissemos anteriormente, regulações específicas sobre inteligência artificial estão em discussão no Brasil e já avançam em outras jurisdições, o que amplia o risco de não conformidade para organizações que não estruturam sua governança desde agora. 10. Dependência tecnológica sem estratégia A adoção fragmentada de ferramentas de IA cria um cenário de dependência tecnológica sem planejamento. Diferentes soluções são incorporadas sem integração, sem padronização e sem critérios de longo prazo. Isso dificulta a gestão do ambiente, aumenta os custos operacionais e limita a capacidade de evolução da arquitetura de TI. A dependência de fornecedores específicos também pode restringir a autonomia da organização, especialmente em contextos que exigem controle de dados, modelos e processos. Resumo dos principais riscos da inteligência artificial para empresas Riscos Grau de impacto Uso de dados sensíveis em ferramentas públicas Alto Falta de rastreabilidade nas decisões Alto Dependência de respostas não verificadas Alto Shadow IT Alto Exposição a riscos de segurança da informação Alto Decisões automatizadas sem supervisão adequada Alto Viés algorítmico Médio Falta de definição de responsabilidade Alto Desalinhamento com exigências regulatórias Alto Dependência tecnológica sem estratégica Médio Riscos éticos e jurídicos da inteligência artificial nas empresas Se os riscos operacionais mostram como a IA afeta processos e segurança, os riscos éticos e jurídicos expõem um ponto ainda mais sensível: a capacidade da empresa de sustentar as decisões que envolvem inteligência artificial e responder por elas. Ao incorporar a IA aos fluxos internos, a área de TI assume um papel que ultrapassa a gestão de infraestrutura e passa a influenciar, ainda que indiretamente, decisões com efeitos legais, regulatórios e reputacionais. Esse cenário já se reflete no ambiente regulatório. Iniciativas como o AI Act, na Europa, e projetos de lei em discussão no Brasil indicam uma direção clara: sistemas de IA começam a ser avaliados também sob critérios de transparência, segurança e responsabilidade. À medida que essas ferramentas influenciam análises, recomendações e decisões, aumenta a necessidade de garantir que os resultados possam ser compreendidos, justificados e auditados. Sem esse cuidado, surgem situações como: Para profissionais e gestores de TI, esse contexto traz implicações diretas. A arquitetura tecnológica, as integrações realizadas e as ferramentas autorizadas passam a determinar não apenas a eficiência operacional, mas também o nível de exposição da organização a riscos éticos e jurídicos. Isso exige a definição de critérios que permitam utilizar a IA com previsibilidade, rastreabilidade e responsabilidade. Nesse contexto, transparência, explicabilidade e accountability (responsabilidade) integram requisitos técnicos e operacionais. A discussão sobre ética em IA, portanto, se conecta à forma como a organização estrutura sua governança, define limites de uso e estabelece mecanismos de controle, fatores determinantes para um uso seguro e sustentável da tecnologia.  Como estruturar uma política de uso de IA na prática A análise dos riscos operacionais, éticos e jurídicos evidencia um ponto comum – a ausência de critérios formais para orientar o uso da inteligência artificial dentro das organizações. Diante desse cenário, a definição de uma política de uso de IA não deve ser tratada como um documento acessório, mas como parte integrante da governança tecnológica e da estratégia de gestão de riscos. Na prática, essa política funciona como um instrumento que estabelece limites, responsabilidades e diretrizes para o uso da IA, alinhando inovação à segurança, conformidade e previsibilidade operacional. Para que seja efetiva, a política precisa partir de um mapeamento claro: em que áreas a IA está sendo utilizada, por quem e com qual finalidade? Sem esse diagnóstico, qualquer tentativa de controle tende a ser incompleta. A partir disso, alguns elementos se tornam indispensáveis. Elementos essenciais de uma política de uso de IA Uma política bem estruturada deve contemplar, no mínimo: 1. Definição de usos permitidos e restritos Estabelecer quais tipos de dados podem ser utilizados e em quais contextos a IA pode ser aplicada, com atenção especial a informações sensíveis ou estratégicas. 2. Diretrizes de validação e revisão Determinar quando a revisão humana é obrigatória, especialmente em processos que envolvem tomada de decisão ou comunicação externa. 3. Regras para uso de ferramentas externas Definir os critérios para a utilização de plataformas públicas ou de terceiros, reduzindo os riscos associados a Shadow IT e à exposição de dados. 4. Responsabilidade (accountability) Formalizar quem responde pelo uso da IA em cada contexto, evitando lacunas em situações de falha ou incidente. 5. Integração com políticas de segurança da informação Garantir que o uso da IA esteja alinhado a frameworks já adotados, como práticas relacionadas com a ISO/IEC 27001. 6. Treinamento e conscientização Orientar os colaboradores sobre riscos, limites e boas práticas, reduzindo o uso inadequado por desconhecimento. Mais do que restringir seu uso, essa estrutura permite que a IA seja incorporada de forma controlada, com clareza sobre seus limites e impactos. Dessa forma, há a redução de exposições e a criação de um ambiente em que a tecnologia pode ser utilizada com maior segurança e consistência. Ao mesmo tempo, evidencia-se um ponto importante: a governança de IA depende não apenas de tecnologia, mas de conhecimento aplicado. É nesse contexto que a capacitação de equipes ganha relevância, especialmente para profissionais responsáveis por segurança da informação, compliance e gestão de TI. 6 soluções de inteligência artificial nas empresas para serem acompanhadas de perto A definição de uma política de uso de IA estabelece limites e responsabilidades. No entanto, a governança só se consolida quando a organização também adota critérios claros para avaliar as ferramentas que pretende utilizar. Isso ocorre porque a escolha de soluções de IA impacta diretamente todos os riscos discutidos anteriormente, desde a exposição de dados até a dependência tecnológica e a conformidade regulatória. Atualmente, diferentes ferramentas oferecem níveis distintos de controle, transparência e integração com ambientes corporativos. Sem critérios definidos, a adoção tende a ocorrer por conveniência ou popularidade, o que amplia o risco de decisões desalinhadas à estratégia da empresa. Por esse motivo, acompanhar o mercado de IA não significa apenas conhecer novas soluções, mas entender como cada uma delas se encaixa, ou não, nos requisitos de governança, segurança e compliance. Veja a seguir 6 soluções de IA para serem acompanhadas de perto pelas empresas Algumas plataformas têm se destacado no uso corporativo, seja pela capacidade técnica, seja pela evolução de recursos voltados para a governança. 1. Databricks Mosaic AI Integrada ao ecossistema de dados da Databricks, a Mosaic AI permite desenvolver, treinar e implantar modelos diretamente sobre pipelines de dados corporativos. O diferencial está na governança nativa: controle de dados, versionamento e integração com lakehouses. É uma abordagem que aproxima a IA da engenharia de dados e reduz o uso disperso de ferramentas externas. 2.  Snowflake Cortex Inserida dentro da plataforma de dados da Snowflake, a Cortex permite aplicar modelos de IA diretamente sobre dados armazenados no data cloud, sem necessidade de movimentação para ambientes externos. Isso reduz os riscos associados à transferência de dados e facilita o controle de acesso, um ponto crítico para a governança de IA. 3. AWS Bedrock Serviço da Amazon que permite acessar e orquestrar múltiplos modelos de IA generativa com controle de dados e integração com serviços da nuvem AWS. O foco está em permitir o uso corporativo com camadas de segurança, isolamento e governança mais robusta do que ferramentas públicas abertas. 4. ChatGPT (OpenAI) Amplamente utilizado em atividades como geração de conteúdo, apoio a análises e automação de tarefas cognitivas. Em ambientes corporativos, versões com maior controle de dados e gestão de usuários ganham relevância, especialmente para reduzir riscos associados a seu uso indiscriminado. 5. Claude (Anthropic) Posicionado com foco em segurança e alinhamento de respostas, apresenta abordagens voltadas para a redução de riscos em outputs. É frequentemente considerado em cenários que exigem maior previsibilidade e controle do comportamento do modelo. 6. Microsoft Copilot (integração com o Microsoft 365 e o Azure) Destaca-se pela integração com ferramentas já utilizadas no ambiente corporativo. Permite incorporar a IA a fluxos de trabalho existentes, com maior aderência a políticas de segurança e governança já implementadas pela organização. A análise dessas soluções não deve se limitar à funcionalidade. Para profissionais de TI e gestores, alguns critérios precisam orientar a decisão: Esse tipo de avaliação conecta diretamente a escolha tecnológica à governança de IA. Ou seja, a decisão sobre qual ferramenta utilizar passa a ser também uma resolução sobre risco, conformidade e sustentabilidade operacional. Governança de IA como prática contínua: o próximo passo para empresas e gestores A análise dos riscos, das implicações éticas e das decisões tecnológicas evidencia um ponto comum – o uso de inteligência artificial já faz parte da operação, mas nem sempre está acompanhado de critérios estruturados. Nesse cenário, a governança de IA não se resume à criação de um documento ou à definição de regras pontuais. Ela envolve a construção de um modelo contínuo, capaz de acompanhar a evolução das ferramentas, adaptar-se a novos riscos e orientar decisões técnicas com base em segurança, conformidade e responsabilidade. Por isso, profissionais e gestores que atuam com tecnologia precisam lidar com questões que combinam arquitetura de sistemas, proteção de dados, avaliação de riscos e interpretação regulatória. A ausência desse preparo limita a capacidade da organização de utilizar a IA com segurança e consistência. Ao mesmo tempo, organizações que estruturam sua governança conseguem avançar com maior controle, reduzindo a exposição e criando condições para uso estratégico da tecnologia. Nesse ponto, a capacitação faz parte da própria estratégia de TI. Para as equipes que precisam lidar com esses desafios na prática, a formação em governança de IA oferece um caminho estruturado para compreender: A Escola Superior de Redes oferece a formação Governança de IA para todos e outros cursos correlatos, desenvolvidos para profissionais que atuam diretamente com tecnologia, segurança da informação e gestão. O primeiro curso aborda desde os fundamentos da governança até sua aplicação prática, conectando o uso da IA às exigências reais do ambiente corporativo, Se a sua empresa já utiliza a inteligência artificial, mesmo que de forma distribuída, este é o momento de estruturar esse uso com critérios claros. 👉 Conheça a formação e prepare sua equipe para atuar com a IA de forma segura, rastreável e alinhada às exigências atuais. Quero conhecer melhor a formação de governança de IA da ESR 10 perguntas frequentes sobre sobre IA nas empresas 1. O que é governança de IA e por que ela é importante? Governança de IA é o conjunto de diretrizes, controles e responsabilidades que orientam o uso da inteligência artificial dentro da organização. Ela é importante porque define como a tecnologia pode ser utilizada com segurança, previsibilidade e conformidade, reduzindo os riscos operacionais, jurídicos e reputacionais. 2. Quais são os principais riscos da inteligência artificial para as empresas? Os principais riscos incluem uso indevido de dados sensíveis, falta de rastreabilidade nas decisões, respostas incorretas não verificadas, exposição a falhas de segurança, conflitos regulatórios e ausência de definição de responsabilidade. Esses riscos aumentam quando a IA é adotada sem critérios claros de uso e controle. 3. O uso de IA pode violar a LGPD? Sim, especialmente quando envolve o tratamento inadequado de dados sensíveis. Isso pode ocorrer, por exemplo, quando informações são inseridas em ferramentas externas sem controle, quando não há transparência sobre o uso dos dados ou quando decisões automatizadas afetam titulares sem critérios claros. 4. O que é Shadow IT em inteligência artificial? Shadow IT em IA ocorre quando os colaboradores utilizam ferramentas de inteligência artificial sem conhecimento ou aprovação da área de TI. Esse comportamento reduz a visibilidade sobre o uso da tecnologia, dificulta o controle de dados e pode gerar riscos de segurança e compliance. 5. Minha empresa precisa de uma política de uso de IA? Sim. A política de uso de IA estabelece regras claras sobre como a tecnologia pode ser utilizada, quais dados podem ser processados, quem é responsável pelos resultados e quais controles devem ser aplicados. Sem essa definição, o uso tende a ocorrer de forma desestruturada. 6. Quem deve ser responsável pelo uso de IA na empresa? A responsabilidade deve ser formalmente definida pela organização. Normalmente envolve uma combinação entre as áreas de TI, segurança da informação, compliance e áreas de negócio que utilizam a tecnologia. O importante é que exista clareza sobre a accountability em caso de falhas ou incidentes. 7. Como começar a implementar governança de IA? O primeiro passo é mapear quais áreas utilizam a IA e de que forma. Em seguida, é necessário definir as diretrizes de uso, os critérios de segurança, as responsabilidades e os processos de validação. A capacitação das equipes também é essencial para garantir a aplicação prática dessas diretrizes. 8. A governança de IA é só para grandes empresas? Não. Empresas de todos os portes utilizam IA, mesmo que de forma indireta. Quanto mais cedo a governança for estruturada, menor o risco de exposição e maior a capacidade de usar a tecnologia de forma estratégica. Quero conhecer melhor a formação de governança de IA da ESR


    18/06/2026
  • Firewall lento: 5 sinais de gargalo na rede corporativa
    Segurança

    Firewall lento: 5 sinais de gargalo na rede corporativa

    Quando falamos em firewall lento no meio corporativo, estamos nos referindo a situações em que o equipamento de segurança já não consegue processar o volume de tráfego, inspeções e conexões exigidos pela operação sem provocar impactos perceptíveis na rede. Durante muito tempo, problemas de lentidão eram atribuídos quase automaticamente à operadora de internet. Hoje, esse diagnóstico já não explica boa parte dos incidentes relacionados com desempenho. O crescimento do tráfego criptografado, a consolidação de aplicações SaaS, videoconferências e serviços corporativos em nuvem transformaram o firewall em um dos principais pontos de processamento da infraestrutura corporativa. Em paralelo, plataformas como Microsoft 365, Zoom, ERPs online e sistemas integrados mantêm conexões contínuas e alto volume de tráfego criptografado, exigindo a inspeção permanente do tráfego. Como consequência, em muitos ambientes, o equipamento está operacional, porém trabalha próximo do limite de CPU, memória e throughput de firewall.  O cenário se torna ainda mais complexo porque diversos desses sintomas acabam associados ao link de internet, quando a origem real está no processamento interno do firewall. Em outras palavras, a conectividade externa permanece funcional, mas o equipamento responsável por inspecionar, validar e encaminhar o tráfego não consegue responder no mesmo ritmo exigido pela operação. Boa parte desse comportamento está ligada à própria evolução da segurança de redes corporativas. Atualmente, além do controle tradicional de conexões, muitos firewalls também executam simultaneamente: Cada uma dessas camadas amplia o consumo de CPU, memória e capacidade de inspeção em tempo real, especialmente em infraestruturas com alto volume de conexões simultâneas e aplicações em nuvem. Segundo a Fortinet, os Fortinet NGFWs (Next-Generation Firewalls) combinam múltiplos mecanismos de análise e proteção simultânea, o que aumenta significativamente a necessidade de dimensionamento adequado da infraestrutura e administração especializada para equilibrar proteção e desempenho de rede. Por compreender esse cenário, a  Escola Superior de Redes decidiu abordar: Você também pode gostar: Gestão da Continuidade de Negócios: O que você precisa saber  Os principais sinais de degradação relacionados com o firewall 1. Latência alta e perda de desempenho em horários de pico Um dos sinais mais comuns de gargalo de rede aparece nos momentos de maior utilização da infraestrutura. No início do expediente, durante reuniões simultâneas em períodos de maior consumo de aplicações SaaS, o tempo de resposta aumenta de forma perceptível.  Chamadas começam a travar, sistemas ficam intermitentes e aplicações em nuvem demoram mais para carregar. Esse comportamento normalmente indica saturação de processamento do firewall, especialmente em ambientes com alto volume de conexões criptografadas. À medida que cresce o número de sessões simultâneas, o equipamento precisa descriptografar, inspecionar e validar mais tráfego em tempo real.  Em firewalls subdimensionados, o impacto costuma surgir primeiro em aplicações sensíveis à latência. 2. Quedas recorrentes em aplicações SaaS e videoconferências Plataformas como Microsoft Teams, Zoom, Google Meet e sistemas corporativos em nuvem dependem de baixa latência contínua para manter a estabilidade operacional. Quando o firewall demora para processar políticas, inspeções SSL/TLS e sessões simultâneas, a comunicação começa a apresentar falhas perceptíveis. O resultado aparece em travamentos durante reuniões, perda de qualidade em chamadas, sincronização lenta de arquivos e desconexões intermitentes. Com frequência, o link contratado continua saudável. O problema está no tempo que o firewall leva para analisar e encaminhar o tráfego. 3. Uso excessivo de CPU e memória no firewall A elevação constante do consumo de CPU e memória é outro forte indicativo de firewall corporativo operando próximo do limite. Isso ocorre principalmente quando o equipamento executa múltiplas funções simultaneamente, como: Quanto maior o volume de tráfego criptografado e conexões persistentes, maior também a exigência sobre os recursos internos do equipamento. Em cenários mais críticos, filas internas de processamento começam a surgir, reduzindo o desempenho geral da rede. 4. Logs com packet drop e saturação de sessões Outro sinal importante aparece nos próprios registros do firewall. Mensagens relacionadas com packet drop, descarte de sessões ou exaustão da session table indicam que o equipamento já não consegue administrar adequadamente o volume de conexões ativas. Esse tipo de comportamento tende a crescer em ambientes com aplicações SaaS, acessos remotos simultâneos, videoconferências e integrações em nuvem. Sem capacidade suficiente de processamento, o firewall passa a descartar o tráfego legítimo para preservar a estabilidade mínima da operação. 5. Dificuldade para ativar novos recursos de segurança Em muitos ambientes, equipes de infraestrutura evitam ativar funcionalidades avançadas porque sabem que a rede perderá desempenho. Esse é um dos sinais mais claros de limitação estrutural do firewall. Recursos como IPS, inspeção SSL/TLS completa, análise comportamental e filtragem avançada ampliam significativamente o consumo de processamento. Quando a infraestrutura já opera próxima do limite, qualquer nova camada de segurança aumenta o risco de lentidão e instabilidade. O problema deixa de ser apenas operacional e passa a impactar diretamente a maturidade da segurança da informação. Quais fatores aumentam a sobrecarga desses equipamentos? O comportamento de um firewall lento não depende apenas da quantidade de usuários conectados. A sobrecarga normalmente está associada à combinação entre volume de tráfego, complexidade das inspeções e crescimento contínuo de aplicações modernas. Entre os fatores mais relevantes estão: Fator Impacto sobre o firewall Tráfego SSL/TLS elevado Aumenta o consumo de CPU durante a descriptografia Aplicações SaaS Mantêm sessões persistentes e conexões simultâneas DPI e IPS ativados Elevam o processamento em tempo real Videoconferências Exigem baixa latência contínua Equipamentos antigos Limitam o throughput real de inspeção Políticas excessivamente complexas Aumentam o tempo de análise do tráfego Além disso, muitos ambientes continuam utilizando equipamentos dimensionados para uma realidade anterior à explosão do tráfego criptografado e da computação em nuvem. Você também pode gostar: Cursos de governança de TI imperdíveis para você se especializar!  Como desenvolver estratégias mais avançadas de dimensionamento e administração Resolver um problema de latência de firewall não significa apenas substituir hardware. O processo exige análise técnica sobre throughput real de inspeção, volume de sessões simultâneas, políticas aplicadas e comportamento do tráfego corporativo. Geralmente, a degradação surge porque o ambiente cresceu mais rápido do que a arquitetura de segurança. Por isso, algumas práticas tornaram-se fundamentais: 1. Monitorar as métricas reais de desempenho Avaliar apenas o link de internet já não é suficiente. É necessário acompanhar indicadores como: Esses dados permitem identificar gargalos antes que o impacto atinja aplicações críticas. 2. Revisar políticas e inspeções desnecessárias Ambientes que acumulam regras excessivas ou inspeções mal configuradas tendem a consumir mais processamento do que o necessário. A revisão periódica das políticas ajuda a reduzir carga operacional e melhorar o desempenho do firewall. 3. Dimensionar a infraestrutura para o tráfego atual O throughput informado em especificações comerciais nem sempre representa o desempenho real com todos os recursos ativados. Dessa forma, o dimensionamento precisa considerar: Acessos remotos simultâneos. 4. Capacitar equipes para administrar arquiteturas modernas Os gargalos também estão relacionados com a administração inadequada do ambiente. Configurações incorretas, políticas mal distribuídas e ausência de monitoramento aumentam o risco de degradação da infraestrutura. Esse cenário torna o conhecimento técnico indispensável para a continuidade operacional das empresas. Identifique o estado do seu firewall antes que o gargalo afete toda a operação Na TI, a limitação pode ser detectada quando a lentidão já compromete aplicações, produtividade e estabilidade operacional. Por esse motivo, mapear o consumo de CPU, throughput real de inspeção, volume de sessões simultâneas, uso de SSL inspection e comportamento das aplicações críticas precisa ser parte essencial da administração moderna de redes. A ESR capacita profissionais para atuar exatamente nesse cenário, com foco prático em administração de segurança, desempenho de rede e configuração de firewalls corporativos de alta performance. No curso Administração de segurança de redes com FortiGate (NUV-012), os alunos aprendem a: Conheça o curso Administração de segurança de redes com FortiGate FAQ – Perguntas frequentes sobre firewall lento e gargalos de rede corporativa 1. Como saber se o firewall é o responsável pela lentidão da rede? Os sinais mais comuns incluem aumento de latência, travamentos em videoconferências, lentidão em aplicações SaaS, packet drop e crescimento excessivo do uso de CPU e memória do firewall. 2. O tráfego criptografado pode deixar o firewall lento? Sim. A inspeção SSL/TLS exige descriptografia e análise contínua do tráfego, aumentando significativamente o consumo do processamento. 3. O que é throughput de firewall? É a capacidade do equipamento de processar tráfego por segundo. O throughput real costuma variar conforme os recursos de inspeção ativados. 4. Firewalls antigos conseguem suportar aplicações modernas em nuvem? Depende da capacidade de processamento e do volume de tráfego. Muitos equipamentos apresentam gargalo ao lidar com aplicações SaaS e inspeção SSL em larga escala. 5. Qual a diferença entre firewall tradicional e NGFW? Os NGFWs adicionam funcionalidades avançadas como DPI, IPS, inspeção SSL/TLS e análise de aplicações, ampliando a proteção e também a exigência de processamento. QUERO ME INSCREVER NAS  TURMAS DA ESR


    11/06/2026
  • Trilha de certificação EXIN: como planejar sua carreira em proteção de dados
    Governança de TI

    Trilha de certificação EXIN: como planejar sua carreira em proteção de dados

    Neste guia você vai saber qual certificação EXIN é ideal para o mercado de trabalho em 2026, tendo em vista que a proteção de dados passou a ocupar posição permanente nas estratégias de tecnologia, governança e conformidade das organizações. Desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), empresas e órgãos públicos vêm estruturando programas de governança de dados e ampliando a demanda por profissionais capazes de implementar, manter e auditar esses processos. Em paralelo, o aumento da fiscalização e a evolução das regulamentações publicadas pela Autoridade Nacional de Proteção de Dados (ANPD) reforçam que a conformidade não é mais tratada como um projeto pontual, mas como uma atividade contínua, integrada à gestão de riscos e à estratégia institucional. Nesse cenário, a qualificação formal por meio de certificações internacionais é extremamente relevante para profissionais que desejam atuar com segurança da informação, privacidade e governança de dados de forma estruturada. Tem interesse em aprimorar suas habilidades e garantir maior espaço no mercado? Saiba por onde começar no guia a seguir, elaborado pela EXIN, uma das maiores organizações de certificação em TI.  O que é a EXIN e por que suas certificações são reconhecidas internacionalmente? A EXIN é uma organização internacional de certificação fundada em 1984, responsável por avaliar e validar competências profissionais em áreas como segurança da informação, gestão de serviços, governança e privacidade.  Ao longo de sua trajetória, a instituição certificou quase 3 milhões de profissionais em mais de 165 países, consolidando sua presença global e reconhecimento no mercado de tecnologia. Esse alcance internacional faz com que as certificações da EXIN sejam utilizadas por empresas e órgãos públicos como referência objetiva para a comprovação de conhecimento técnico e aderência a padrões reconhecidos, como a família de normas ISO/IEC 27000. Além disso, a EXIN mantém programas estruturados de career paths que organizam certificações em trilhas progressivas de aprendizado, permitindo que profissionais evoluam de fundamentos teóricos até níveis mais avançados de aplicação prática. Como funciona uma trilha de certificação em proteção de dados? Uma trilha de certificação é um conjunto de qualificações organizadas em sequência lógica, no qual cada etapa aprofunda o conhecimento adquirido anteriormente e prepara o profissional para responsabilidades mais complexas. No campo da proteção de dados, essa progressão normalmente parte da segurança da informação, que estabelece as bases técnicas para a proteção de ativos, e avança para privacidade, governança e aplicação prática das normas e legislações. A seguir, é apresentado um roadmap típico dessa evolução profissional, considerando as certificações EXIN ofertadas pela Escola Superior de Redes. Roadmap de certificação em proteção de dados Etapa 1) Fundamentos de segurança da informação O primeiro passo para atuar com proteção de dados é compreender como as organizações protegem seus ativos de informação.  Esse conhecimento é estruturado por meio de frameworks de gestão, como o Sistema de Gestão de Segurança da Informação (SGSI) previsto na ISO/IEC 27001. A certificação Information Security Foundation (baseada na ISO/IEC 27001) valida a compreensão de conceitos como: Esse nível é considerado o ponto de entrada para carreiras em segurança da informação e serve de base para certificações posteriores mais especializadas. Etapa 2) Especialização em privacidade e proteção de dados Depois de compreender os mecanismos de segurança, o profissional passa a estudar como esses controles se relacionam com os requisitos legais e regulatórios. Nesse estágio, são abordados temas como: A certificação Privacy & Data Protection Essentials introduz esses conceitos, enquanto a Privacy & Data Protection Foundation aprofunda o entendimento sobre frameworks de privacidade e regulamentações internacionais, incluindo a GDPR europeia. Etapa 3) Aplicação prática e atuação profissional O nível seguinte da trilha concentra-se na aplicação dos conceitos de privacidade e segurança no contexto real das organizações. Nesse estágio, o profissional é preparado para: A certificação Privacy and Data Protection Practitioner valida a capacidade de aplicar na prática o conhecimento sobre legislação e governança de dados, demonstrando preparo para funções como analista de privacidade, consultor ou assistente do encarregado de dados (DPO). Etapa Certificação EXIN Foco principal Indicado para Fundamentos Information Security Foundation (ISO/IEC 27001) Conceitos de segurança, riscos, controles e SGSI. Profissionais iniciantes em segurança da informação e privacidade. Privacidade Privacy & Data Protection Essentials Introdução à LGPD e aos princípios e papéis no tratamento de dados.  Profissionais que desejam compreender a estrutura da proteção de dados. Estruturação Privacy & Data Protection Foundation Frameworks de privacidade e regulamentações internacionais. Analistas e gestores que atuam na implementação de programas de privacidade. Aplicação prática Privacy and Data Protection Practitioner Implementação de controles, avaliações de impacto e governança. Profissionais responsáveis por executar e manter programas de proteção de dados. Como essa trilha se conecta à carreira em proteção de dados? O planejamento de carreira em proteção de dados envolve mais do que a obtenção de um único certificado.  As organizações costumam buscar profissionais que demonstrem progressão estruturada de competências, desde a compreensão dos fundamentos de segurança até a capacidade de aplicar normas e regulamentações em cenários complexos. Ao seguir uma trilha organizada, o profissional constrói um percurso formativo coerente, no qual cada certificação reforça e valida habilidades adquiridas em etapas anteriores.  Esse modelo facilita tanto a evolução técnica individual quanto a avaliação de competências por parte de recrutadores e gestores de equipes. O papel da capacitação contínua em um cenário regulatório em evolução A agenda regulatória da ANPD para o biênio 2025–2026 estabelece prioridades de fiscalização e desenvolvimento normativo, indicando que temas como governança, direitos dos titulares e tratamento de dados sensíveis continuarão sendo aprofundados nos próximos anos. Esse contexto reforça a necessidade de atualização constante dos profissionais que atuam com dados pessoais, já que mudanças regulatórias e tecnológicas podem exigir revisões em processos, controles e políticas organizacionais. Certificações internacionais, como da EXIN, por seguirem frameworks e padrões amplamente reconhecidos, tendem a acompanhar essa evolução e oferecer um referencial estável para o desenvolvimento de competências ao longo do tempo. Próximos passos para iniciar a trilha de certificação Profissionais interessados em atuar com segurança da informação e privacidade podem iniciar sua jornada pela certificação de fundamentos, evoluindo gradualmente para níveis mais avançados conforme sua experiência e responsabilidades profissionais se ampliam. A Escola Superior de Redes oferece cursos preparatórios oficiais em parceria com a EXIN, com material alinhado aos exames de certificação e suporte acadêmico voltado tanto para profissionais individuais quanto para equipes corporativas e órgãos públicos. As turmas são ofertadas periodicamente ao longo do ano, com vagas limitadas para manter a qualidade do acompanhamento pedagógico. [QUERO ME CERTIFICAR PELA EXIN]


    21/05/2026
  • Cloud sovereignty: por que a soberania de dados se tornou um requisito de conformidade na nuvem
    Computação em Nuvem

    Cloud sovereignty: por que a soberania de dados se tornou um requisito de conformidade na nuvem

    O conceito de cloud sovereignty, ou soberania de dados na nuvem, está ligado à capacidade de uma organização manter controle sobre onde seus dados são armazenados, quem pode acessá-los e sob quais leis essas informações são protegidas, mesmo quando utiliza infraestruturas de nuvem operadas por terceiros. Trata-se de um termo essencial para a tecnologia da informação moderna, tendo em vista que a computação em nuvem foi construída com a promessa de elasticidade e alcance global, permitindo que aplicações e dados fossem distribuídos entre data centers em diferentes países com relativa transparência para o usuário. Durante anos, organizações adotaram infraestruturas distribuídas em múltiplos territórios sem que a localização física dos dados fosse uma preocupação central. A prioridade recaía sobre a disponibilidade, o desempenho e o custo operacional. No entanto, o cenário geopolítico e regulatório atual transformou essa percepção. Hoje, saber onde o dado reside e quem tem o direito legal de acessá-lo não é apenas uma questão técnica, mas um imperativo estratégico e de conformidade. Em 2026, além de proteger dados contra vazamentos e acessos indevidos, tornou-se necessário garantir que essas informações permaneçam sob jurisdições compatíveis com a legislação aplicável. Na prática, isso significa que uma empresa brasileira que utiliza serviços de nuvem hospedados em outro país precisa avaliar não apenas a segurança técnica da infraestrutura, mas também quais autoridades podem legalmente requisitar acesso a esses dados e quais leis se aplicam ao seu tratamento. Esse tipo de análise envolve aspectos como transferência internacional de dados, jurisdição de dados e requisitos específicos da LGPD para dados armazenados no exterior. Ou seja, é imprescindível que gestores e especialistas compreendam como decisões aparentemente técnicas, como escolher a região de um data center, podem gerar impactos jurídicos, contratuais e regulatórios. Ao longo deste conteúdo, você encontrará explicações sobre: A nuvem sem fronteiras acabou? O modelo inicial de nuvem pública pressupunha que dados e aplicações poderiam ser distribuídos livremente entre regiões, com base em critérios de custo, disponibilidade e desempenho. Essa lógica funcionou enquanto a principal preocupação das organizações era garantir continuidade de serviço e escalabilidade. Com o avanço das legislações de proteção de dados e de normas que tratam de segurança nacional e soberania digital, governos e órgãos reguladores passaram a exigir maior controle sobre onde dados sensíveis são armazenados e quem pode acessá-los. Um exemplo concreto desse movimento é a criação de ofertas específicas de nuvem soberana por grandes provedores. A própria Microsoft estruturou o Microsoft Sovereign Cloud como uma resposta direta às exigências regulatórias de países europeus, permitindo que dados sejam processados e gerenciados dentro de limites jurídicos definidos. Da mesma forma, outros provedores como Amazon Web Services e Google Cloud passaram a oferecer regiões específicas, controles de data residency e modelos de nuvem soberana para atender a esse novo cenário regulatório. Embora a mudança não indique o abandono total da nuvem, evidencia a necessidade da adoção de mecanismos que conciliem a escalabilidade das plataformas globais com as exigências legais locais.  Portanto, a resposta para a pergunta “A nuvem sem fronteiras acabou?” é que o modelo global e irrestrito perdeu espaço, sendo substituído por arquiteturas em que a localização, o controle e a jurisdição dos dados se tornaram critérios obrigatórios de decisão.  O que é cloud sovereignty e por que o conceito ganhou força? O significado de cloud sovereignty refere-se à garantia de que os dados de uma organização permanecem sob sua jurisdição legal e controle técnico, independentemente de onde o provedor de nuvem esteja sediado. Esse controle envolve três dimensões principais: a localização física dos dados, as condições de acesso e a independência tecnológica em relação ao fornecedor. Segundo a própria Microsoft, “soberania digital não significa isolamento, mas, sim, a capacidade de exercer governança autônoma em um ambiente digital globalmente conectado”. Um conceito que ganhou força à medida que regulações nacionais e internacionais passaram a impor restrições à transferência e ao tratamento de dados fora de determinadas fronteiras.  Leis como a LGPD, na esfera brasileira, e o Cloud Act, nos Estados Unidos, tornaram evidente que a localização dos dados e a jurisdição aplicável podem gerar obrigações e riscos distintos para as organizações. Hoje, a cloud sovereignty, também chamada soberania de dados na nuvem ou soberania digital, integra as decisões de arquitetura, compliance e governança de TI.  Por isso, a escolha de um provedor, de uma região de hospedagem ou de um modelo de implantação envolve critérios técnicos e também avaliações jurídicas e estratégicas. Diferentemente dos modelos de nuvem pública global, em que dados podem estar distribuídos por vários países sem visibilidade direta para o cliente, assovereign clouds são estruturadas para atender a leis locais, expectativas regulatórias e requisitos de autonomia operacional. Isso pode incluir processamento restrito a um território, controles de acesso por pessoal local e mecanismos de criptografia gerenciados pelo próprio cliente. Os pilares da soberania de dados na nuvem A soberania de dados em nuvem não é um conceito único e rígido. Diferentes provedores e frameworks de segurança descrevem seus pilares de formas distintas, variando entre abordagens jurídicas, operacionais e técnicas.  Apesar das diferenças de nomenclatura, todos os modelos convergem para um objetivo comum: garantir que organizações mantenham controle efetivo sobre seus dados, mesmo em ambientes de nuvem distribuídos. É importante, primeiro, entender a diferença entre: De forma consolidada, é possível agrupar os principais pilares da soberania digital em quatro dimensões práticas: Entenda cada um deles abaixo.  1. Residência de dados A residência de dados, ou data residency, trata da localização física das informações e responde à pergunta mais direta dentro do contexto de soberania: em qual país ou região os dados estão armazenados e replicados? Esse aspecto é essencial para atender legislações que impõem restrições à transferência internacional de dados ou exigem armazenamento local de informações sensíveis.  Em ambientes de nuvem, isso envolve não apenas o data center primário, mas também réplicas, backups e mecanismos de redundância geográfica. 2. Privacidade e controle de acesso O segundo pilar envolve a capacidade de restringir o acesso aos dados e garantir que apenas entidades autorizadas possam visualizá-los, administrá-los ou processá-los. Ou seja, abarca quem pode visualizar e administrar os dados. Para isso, são incluídos mecanismos como segregação de ambientes, autenticação forte, controle de identidade e uso de chaves criptográficas sob controle do cliente. Mesmo quando os dados permanecem fisicamente em um país específico, a soberania pode ser comprometida se administradores externos ou autoridades estrangeiras tiverem meios legais ou técnicos de acessá-los. 3. Segurança e resiliência A soberania também depende da capacidade de manter dados disponíveis e protegidos mesmo diante de falhas técnicas, ataques ou interrupções operacionais. Em outras palavras, como os dados são protegidos contra falhas e incidentes. Por esse motivo, frameworks modernos incluem criptografia em repouso, em trânsito e em uso, além de mecanismos de continuidade de negócios e recuperação de desastres como elementos centrais da soberania digital. Esse pilar conecta diretamente soberania a requisitos clássicos de segurança da informação, como os controles previstos em normas como a ISO/IEC 27001. 4. Controles legais e contratuais Por fim, a soberania de dados envolve a jurisdição aplicável e as proteções legais associadas ao tratamento dessas informações. Abrange sob quais leis e obrigações os dados estão protegidos. É um pilar que define quais autoridades podem solicitar acesso aos dados, quais leis se aplicam ao seu processamento e quais salvaguardas contratuais existem entre cliente e provedor. Nesse ponto, entram temas como transferência internacional de dados, cláusulas contratuais padrão e conflitos entre legislações, como ocorre em cenários envolvendo o Cloud Act. Resumo dos pilares da soberania de dados em nuvem e o que cada um representa Pilar  O que significa na prática Pergunta que responde Residência de dados Define em quais países ou regiões os dados são armazenados e replicados Onde meus dados estão fisicamente? Privacidade e controle de acesso Determina quem pode visualizar, administrar ou processar as informações Quem pode acessar meus dados e sob quais permissões? Segurança e resiliência Garante proteção contra vazamentos, ataques e falhas, além de assegurar continuidade operacional Meus dados estão protegidos e disponíveis em caso de incidentes? Controles legais e jurisdicionais Estabelece quais leis se aplicam ao tratamento dos dados e quais autoridades podem requisitar acesso Sob quais leis meus dados estão protegidos? Essa visão consolidada permite que organizações avaliem sua postura de soberania de forma objetiva, sem depender da terminologia específica de um fornecedor ou de um único framework de segurança. Na prática, isso significa que uma empresa só pode afirmar que possui soberania sobre seus dados quando consegue responder de forma clara e auditável às quatro perguntas apresentadas na tabela: localização, acesso, proteção e jurisdição. Como a soberania de dados impacta a LGPD e a transferência internacional? A visão de uma nuvem global e onipresente colidiu com a realidade da proteção de dados e da segurança nacional.  Governos perceberam que depender de provedores estrangeiros para serviços críticos cria uma vulnerabilidade estratégica. Portanto, a nuvem hoje é “fronteirada” por políticas, e ela continua global na escala, mas local na execução e na conformidade. A soberania de dados, por sua vez, tem relação direta com a forma como a Lei Geral de Proteção de Dados (LGPD) trata a transferência internacional de dados pessoais. Embora a legislação brasileira não proíba o armazenamento ou processamento de dados no exterior, ela estabelece condições específicas para que essa transferência ocorra de forma lícita e segura. Ou seja, o uso de provedores de nuvem com data centers fora do Brasil não é irregular por si só. O problema surge quando a organização não consegue demonstrar quais garantias existem para proteger os dados após a saída do território nacional. A LGPD determina que a transferência internacional de dados só pode ocorrer quando o país de destino oferece um nível de proteção adequado ou quando existem mecanismos formais, como cláusulas contratuais específicas, normas corporativas globais ou certificações reconhecidas. Se uma empresa brasileira armazena dados em uma nuvem cujos servidores estão nos Estados Unidos ou na Europa, ela está realizando uma transferência internacional.  A soberania entra nesse contexto como o mecanismo que garante que, mesmo fora do país, o dado tenha um nível de proteção equivalente ao exigido pela lei brasileira ou que ferramentas técnicas (como a anonimização) retirem o dado do escopo de “dado pessoal” antes da saída. “CAPÍTULO V DA TRANSFERÊNCIA INTERNACIONAL DE DADOS Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; […]”  Esse ponto conecta diretamente a soberania de dados com decisões técnicas de infraestrutura. Ao escolher a região de hospedagem de um serviço em nuvem, a organização está, na prática, decidindo quais legislações estrangeiras podem influenciar o tratamento dessas informações. Quando leis estrangeiras podem acessar seus dados? Mesmo quando uma organização define corretamente a região de armazenamento de seus dados e adota controles técnicos adequados, ainda existe um fator que pode comprometer a soberania digital – a aplicação de legislações estrangeiras sobre provedores de nuvem globais. Um dos exemplos mais citados nesse contexto é o já comentado por aqui Cloud Act (Clarifying Lawful Overseas Use of Data Act), legislação dos Estados Unidos que permite que autoridades norte-americanas solicitem acesso a dados armazenados por empresas sob sua jurisdição, independentemente do local físico onde essas informações estejam armazenadas. Isso significa que, mesmo que os dados estejam hospedados em um data center localizado no Brasil ou na União Europeia, eles podem ser requisitados por autoridades estrangeiras caso o provedor de nuvem esteja sujeito a leis de outro país.  Esse cenário tende a criar um conflito direto entre a soberania nacional, as leis de proteção de dados locais e as obrigações legais do fornecedor de tecnologia. Principais riscos jurídicos e operacionais desse cenário Quando legislações com alcance extraterritorial entram em jogo, organizações passam a enfrentar uma série de riscos que vão além da segurança técnica dos dados. Entre os principais, destacam-se: Esses riscos mostram que a soberania de dados não depende apenas da escolha da região de hospedagem, mas também da análise das leis às quais o provedor está sujeito e das cláusulas contratuais que tratam de requisições governamentais e cooperação internacional. Lembra disso? Um caso real de conflito entre jurisdições na nuvem.Em 2013, o governo dos Estados Unidos solicitou à Microsoft acesso a e-mails de um usuário investigado em um caso criminal. Os dados, no entanto, estavam armazenados em um datacenter da empresa localizado na Irlanda. A Microsoft recusou-se a entregar as informações, alegando que autoridades norte-americanas deveriam seguir os mecanismos legais internacionais e solicitar os dados por meio das autoridades irlandesas.O caso chegou à Suprema Corte dos Estados Unidos e se tornou um dos episódios mais emblemáticos sobre soberania de dados e jurisdição na computação em nuvem. Foi esse impasse que levou à criação do Cloud Act, que passou a permitir que autoridades norte-americanas requisitem dados armazenados no exterior por empresas sob sua jurisdição. Como o tema afeta diretamente decisões de arquitetura em nuvem? Na prática, o risco de conflitos legislativos levou muitas organizações a revisar suas estratégias de adoção de nuvem, buscando alternativas como: Esse tipo de decisão deixa claro que arquitetura de TI, governança de dados e análise jurídica agora caminham juntas, especialmente em ambientes regulados ou com atuação internacional. Assim, arquitetos de solução agora precisam projetar pensando em: O papel do DPO e da governança de dados nesse cenário O avanço de requisitos de soberania de dados e o aumento de conflitos entre legislações internacionais ampliaram a responsabilidade das áreas de governança, segurança da informação e proteção de dados dentro das organizações. Nesse contexto, o Data Protection Officer (DPO) passa a desempenhar um papel central na avaliação de riscos relacionados com o uso de serviços em nuvem. Se antes a atuação do DPO estava concentrada em processos internos de tratamento de dados e na resposta a incidentes de segurança, hoje ele também precisa acompanhar decisões de arquitetura, contratos com provedores e fluxos internacionais de dados. Isso ocorre porque a localização, a replicação e o acesso às informações podem gerar impactos diretos na conformidade regulatória. A governança de dados, por sua vez, torna-se o mecanismo que conecta estas diferentes áreas, jurídico, TI, segurança e negócios, permitindo que decisões técnicas sejam avaliadas sob a ótica de risco, privacidade e legislação aplicável. Responsabilidades práticas do DPO em ambientes de nuvem No contexto de cloud sovereignty, o DPO passa a atuar de forma mais próxima das áreas técnicas e estratégicas, assumindo atividades como: Essa atuação integrada ajuda a garantir que decisões de infraestrutura não sejam tomadas apenas com base em critérios técnicos ou financeiros, mas também considerando os impactos legais e reputacionais envolvidos. Conformidade em nuvem exige capacitação técnica e jurídica À medida que a soberania de dados se torna um requisito regulatório e contratual, cresce também a necessidade de profissionais capazes de interpretar normas, avaliar riscos e implementar controles adequados em ambientes distribuídos. Por esse mesmo motivo, organizações que utilizam serviços em nuvem precisam revisar suas arquiteturas, contratos e processos internos para garantir que a localização, o acesso e o tratamento de dados estejam alinhados às exigências legais aplicáveis. Essa preparação envolve tanto decisões técnicas quanto ajustes de governança e de relacionamento com fornecedores, já que grande parte dos riscos de soberania está associada a dependências externas e à falta de visibilidade sobre o ciclo de vida dos dados, bem como programas de capacitação específicas sobre a temática.  Conclusão Ao longo deste conteúdo, ficou evidente que a soberania de dados não se resume à escolha de um data center localizado em determinado país. Ela envolve a compreensão de onde os dados estão, quem pode acessá-los, quais leis se aplicam ao seu tratamento e quais mecanismos existem para garantir sua proteção ao longo de todo o ciclo de vida. Nesse cenário, temas como transferência internacional de dados, cláusulas contratuais, controles de acesso e certificações de segurança passam a fazer parte de uma estratégia integrada de gestão de riscos e conformidade. Organizações que tratam a soberania de dados como parte de sua governança digital tendem a responder com mais rapidez a exigências regulatórias, a reduzir sua exposição jurídica e a demonstrar maior transparência para clientes, parceiros e órgãos fiscalizadores. Essa postura contribui para evitar sanções e para fortalecer a reputação e a confiança no tratamento de informações sensíveis. À medida que ambientes distribuídos e modelos multicloud se tornam cada vez mais comuns, a capacidade de manter controle sobre dados e processos passa a ser um dos principais indicadores de maturidade em segurança da informação e proteção de dados. Se sua organização utiliza serviços em nuvem ou planeja expandir sua infraestrutura para ambientes distribuídos, compreender e aplicar os princípios de soberania de dados é um passo essencial para garantir conformidade, reduzir riscos legais e sustentar relações de confiança em um cenário digital cada vez mais regulado. A soberania de nuvem não é um obstáculo à inovação, mas o novo alicerce da confiança digital. Organizações que ignoram a origem e o destino de seus dados correm o risco de enfrentar sanções pesadas, perda de propriedade intelectual e danos irreparáveis à reputação em um mundo cada vez mais fragmentado digitalmente. Não corra riscos com a jurisdição dos seus dados. Prepare-se para lidar com os desafios legais e técnicos da proteção de dados em ambientes de nuvem do jeito certo. [Quero me inscrever no preparatório para certificação Privacy & Data Protection Foundation da ESR, em parceria oficial com a EXIN] 10 perguntas frequentes sobre cloud sovereignty e soberania de dados na nuvem 1. O que é cloud sovereignty de forma simples? Cloud sovereignty, ou soberania de dados na nuvem, é a capacidade de uma organização manter controle sobre onde seus dados estão armazenados, quem pode acessá-los e quais leis se aplicam a essas informações, mesmo quando elas estão hospedadas em infraestruturas de nuvem de terceiros. Esse conceito vai além da segurança técnica, envolvendo também aspectos jurídicos, contratuais e operacionais relacionados com o tratamento de dados em ambientes distribuídos. 2. Qual a diferença entre soberania de dados e data residency? Data residency refere-se apenas ao local físico onde os dados são armazenados. Já a soberania de dados em nuvem envolve a legislação que se aplica a essas informações e quem tem autoridade legal para acessá-las. Em outras palavras: Essa distinção é importante porque dados armazenados em um país podem ainda estar sujeitos às leis de outro, dependendo da jurisdição do provedor de nuvem. 3. A LGPD proíbe armazenar dados em nuvem fora do Brasil? Não. A LGPD permite a transferência internacional de dados, desde que sejam adotadas salvaguardas adequadas para garantir a proteção das informações pessoais.  Entre essas salvaguardas estão cláusulas contratuais específicas, certificações e a comprovação de que o país de destino oferece nível adequado de proteção. Isso significa que empresas podem utilizar provedores globais de nuvem, desde que consigam demonstrar conformidade com os requisitos legais previstos na legislação brasileira. 4. O que é o Cloud Act e como ele afeta as empresas brasileiras? O Cloud Act é uma legislação dos Estados Unidos que permite que autoridades norte-americanas solicitem acesso a dados armazenados por empresas sob sua jurisdição, mesmo quando esses dados estão hospedados em outros países. Para as empresas brasileiras, isso significa que utilizar provedores com sede nos EUA pode criar situações de conflito entre a legislação brasileira e ordens judiciais estrangeiras, exigindo análise jurídica e contratual mais cuidadosa. 5. Nuvem soberana e nuvem pública são a mesma coisa? Não. A nuvem pública tradicional é projetada para operar de forma global, distribuindo dados e workloads entre regiões com base em critérios técnicos.  Já a nuvem soberana é estruturada para atender a requisitos específicos de residência de dados, jurisdição e controle operacional, podendo incluir isolamento jurídico, criptografia sob controle do cliente e restrições de acesso por localização geográfica. 6. Quem é responsável pela proteção dos dados na nuvem: a empresa ou o provedor? A proteção de dados em nuvem segue o modelo de responsabilidade compartilhada. O provedor é responsável pela segurança da infraestrutura física e dos serviços básicos, enquanto a organização cliente continua responsável pela configuração, pelo controle de acesso e pelo uso adequado dos dados. Esse modelo exige que empresas mantenham políticas de segurança e governança mesmo quando utilizam serviços gerenciados. 7. Como saber se minha empresa precisa se preocupar com a soberania de dados? Qualquer organização que: precisa avaliar requisitos de soberania. Isso inclui empresas privadas, instituições financeiras, órgãos públicos e fornecedores que tratam dados em nome de terceiros. 8. Quais são os principais riscos de ignorar a soberania de dados? Ignorar requisitos de soberania pode levar a: Além de impactos legais, esses riscos podem afetar a continuidade do negócio e a reputação da organização. 9. Nuvem híbrida ajuda a atender a requisitos de soberania de dados? Sim. A nuvem híbrida permite que dados mais sensíveis permaneçam em ambientes locais ou em regiões específicas, enquanto aplicações menos críticas utilizam a nuvem pública.  Essa abordagem ajuda a equilibrar requisitos de conformidade com benefícios como escalabilidade e redução de custos operacionais. 10. Como saber se meu provedor é soberano? Verifique os termos de serviço, se eles oferecem suporte para regiões locais com isolamento jurídico; as certificações de segurança da informação, como a ISO/IEC 27001, 27018 e 27701, não garantem soberania por si só, mas demonstram que a organização e o provedor adotam controles estruturados de segurança, gestão de riscos e auditoria.  Esses controles são frequentemente exigidos como parte das salvaguardas para transferência internacional de dados e podem facilitar a demonstração de conformidade perante reguladores e parceiros. [Quero me inscrever no preparatório para certificação Privacy & Data Protection Foundation da ESR, em parceria oficial com a EXIN]


    14/05/2026
Ver todos os posts >