O que é PLG? Entenda a abordagem Product Led Growth

Os riscos da inteligência artificial para empresas estão diretamente relacionados com a forma como essas tecnologias são incorporadas ao cotidiano corporativo – muitas vezes sem critérios definidos de uso, controle e validação.  A adoção de soluções baseadas em IA, especialmente ferramentas generativas, como ChatGPT e Claude, entre outras, ampliou a capacidade operacional das organizações em diversas frentes, desde a produção de conteúdo até a análise de dados e o suporte à tomada de decisão, um avanço que ocorreu em ritmo superior à estruturação de regras internas capazes de orientar seu uso. Para entender esse contexto, é importante considerar que, embora a inteligência artificial não tenha surgido recentemente, a forma como ela evoluiu e passou a ser utilizada mudou exponencialmente nos últimos anos. Aplicações que antes estavam restritas a projetos específicos ganharam escala e acessibilidade, sendo utilizadas por equipes diversas no dia a dia. Esse movimento, inclusive, já era observado em iniciativas anteriores ligadas a machine learning e análise de dados, como discutido por nós aqui:  Na prática, isso repercutiu nas ferramentas de IA já inseridas em processos internos, análises e decisões relevantes, enquanto muitas empresas ainda não estabeleceram:  Assim, há um cenário que cria uma dinâmica recorrente, na qual a tecnologia opera dentro da organização antes que exista um modelo formal de governança de IA capaz de orientar seu uso.  A partir desse ponto, os riscos se tornam concretos, uma vez que, sem diretrizes claras, a utilização de IA ocorre de forma distribuída e pouco visível para as áreas responsáveis por tecnologia, segurança da informação e compliance.  Nesse contexto, dados corporativos podem ser inseridos em plataformas externas, decisões passam a depender de sistemas automatizados e processos críticos incorporam respostas cuja origem nem sempre é rastreável. O ponto central, portanto, não é a tecnologia em si, mas a ausência de critérios que definam como ela deve ser utilizada dentro da organização.  Como resposta a esse cenário, algumas iniciativas regulatórias têm tomado forma. No Brasil, por exemplo, projetos de lei em discussão buscam estabelecer parâmetros para o uso da inteligência artificial, incluindo princípios de transparência, responsabilização e gestão de riscos. Isso indica que, além dos impactos operacionais e éticos, o uso de IA também passa a envolver obrigações legais.  Diante dessas questões, estruturar uma governança de IA é uma medida necessária e urgente para alinhar inovação, segurança e responsabilidade.  Sua empresa está pronta para esse novo momento?  Ao longo deste conteúdo, você verá:  Riscos operacionais e estratégicos da IA nas empresas A inclusão da inteligência artificial no ambiente corporativo introduz uma série de riscos que não se limitam à tecnologia em si, mas se estendem à forma como dados, processos e decisões passam a ser conduzidos. Esses riscos costumam surgir de maneira gradual, à medida que o uso da IA se expande dentro da organização sem diretrizes claras. A seguir, estão os principais pontos de atenção que os gestores precisam considerar ao avaliar o uso da IA em suas operações. 10 riscos da inteligência artificial para as empresas O uso corporativo da IA envolve um conjunto de exposições que, em muitos casos, não são percebidas no momento da adoção da ferramenta, mas se manifestam na operação, na segurança e na governança ao longo do tempo. 1. Uso de dados sensíveis em ferramentas públicas Funcionários podem inserir informações estratégicas, dados pessoais ou documentos internos em plataformas abertas de IA. Esse tipo de prática tende a resultar em perda de controle sobre dados corporativos, especialmente quando não há clareza sobre como essas informações são armazenadas, processadas ou reutilizadas pelos provedores.  2. Falta de rastreabilidade nas decisões Resultados gerados por IA nem sempre permitem identificar com precisão quais dados foram utilizados ou qual lógica levou àquela resposta. Isso dificulta auditorias, compromete a transparência e cria obstáculos relevantes em ambientes regulados. Esse risco ganha dimensão concreta quando se observa a ocorrência de conteúdos inteiramente fabricados por modelos generativos. Há registros recentes no Judiciário brasileiro em que decisões e fundamentos inexistentes foram apresentados em processos, gerando sanções por litigância de má-fé. Casos como esses evidenciam um ponto crítico – quando não há rastreabilidade, não há como validar a origem da informação nem sustentar sua confiabilidade. 3. Dependência de respostas não verificadas A ausência de rastreabilidade se conecta diretamente a outro problema: a incorporação de respostas sem validação. Modelos generativos produzem conteúdos com alto grau de coerência linguística, o que facilita sua aceitação como verdade. No entanto, essa plausibilidade não garante precisão. Quando essas respostas são integradas a relatórios, pareceres ou decisões internas sem revisão técnica, o erro deixa de ser pontual e passa a compor o fluxo operacional da empresa. O risco, nesse caso, não está apenas na resposta incorreta, mas na confiança atribuída a ela. 4. Shadow IT ampliada pelo uso de IA O uso de IA se reflete em uma nova camada de Shadow IT, conceito que descreve tecnologias adotadas fora da governança formal da área de TI. Na prática, colaboradores acessam ferramentas diretamente, sem avaliação prévia de segurança, compliance ou integração com os sistemas corporativos. Esse movimento fragmenta o ambiente tecnológico da organização. Diferentes áreas utilizam soluções distintas, com níveis variados de proteção, armazenamento e processamento de dados. O resultado é perda de visibilidade sobre o que está em uso, dificuldade de aplicar políticas de segurança e ausência de controle de como informações corporativas circulam fora dos ambientes oficiais. 5. Exposição a riscos de segurança da informação A utilização de IA fora de diretrizes estruturadas de governança de IA compromete diretamente os controles de segurança da informação. Dados podem ser transferidos para ambientes externos, processados por terceiros e armazenados fora das políticas definidas pela organização, o que entra em conflito com práticas alinhadas a normas como a ISO/IEC 27001. Nesse contexto, o problema não está apenas na tecnologia, mas na quebra de controles já estabelecidos. A IA cria novos fluxos de dados que, se não forem mapeados e protegidos, ampliam a superfície de exposição a incidentes. 6. Decisões automatizadas sem supervisão adequada A incorporação de IA em processos internos altera a forma como decisões são produzidas. Quando não há definição clara de revisão humana, sistemas automatizados passam a influenciar resultados sem que exista validação proporcional ao impacto da decisão. Em áreas como jurídico, financeiro ou atendimento, isso pode significar desde recomendações equivocadas até respostas incorretas para clientes ou análises inconsistentes utilizadas como base para decisões estratégicas. O risco se intensifica quando a automação ocorre de forma silenciosa, sem que a organização tenha mapeado em que setor a IA está sendo utilizada. 7. Viés algorítmico e impacto reputacional Modelos de IA refletem padrões presentes nos dados com os quais foram treinados. Isso inclui vieses históricos, distorções e desigualdades que podem ser reproduzidas nas respostas e decisões geradas. Em ambientes corporativos, esse risco se manifesta em processos de seleção, análise de crédito, priorização de atendimento ou qualquer outro contexto em que a IA interfira na tomada de decisão. Além das implicações éticas, há impacto direto na reputação da empresa e possibilidade de questionamentos legais, especialmente em cenários que envolvem discriminação ou tratamento desigual. 8. Falta de definição de responsabilidade A utilização de IA introduz um problema recorrente: a indefinição sobre quem responde pelos resultados. Quando uma decisão envolve tecnologia, múltiplos agentes participam do processo: o usuário solicitante, a área responsável pela implementação, o fornecedor da ferramenta e a própria organização. Sem uma política de uso de IA que estabeleça responsabilidades, qualquer falha gera incerteza sobre a accountability (responsabilidade), o que dificulta respostas rápidas, gestão de incidentes e defesa jurídica. 9. Desalinhamento com exigências regulatórias O uso corporativo da IA precisa dialogar com um conjunto crescente de normas relacionadas com a proteção de dados, a segurança da informação e a transparência. Sem diretrizes claras, a utilização dessas ferramentas pode violar os princípios da Lei Geral de Proteção de Dados (LGPD), especialmente em relação ao tratamento de dados pessoais, à finalidade e à transparência. Além disso, como dissemos anteriormente, regulações específicas sobre inteligência artificial estão em discussão no Brasil e já avançam em outras jurisdições, o que amplia o risco de não conformidade para organizações que não estruturam sua governança desde agora. 10. Dependência tecnológica sem estratégia A adoção fragmentada de ferramentas de IA cria um cenário de dependência tecnológica sem planejamento. Diferentes soluções são incorporadas sem integração, sem padronização e sem critérios de longo prazo. Isso dificulta a gestão do ambiente, aumenta os custos operacionais e limita a capacidade de evolução da arquitetura de TI. A dependência de fornecedores específicos também pode restringir a autonomia da organização, especialmente em contextos que exigem controle de dados, modelos e processos. Resumo dos principais riscos da inteligência artificial para empresas Riscos Grau de impacto Uso de dados sensíveis em ferramentas públicas Alto Falta de rastreabilidade nas decisões Alto Dependência de respostas não verificadas Alto Shadow IT Alto Exposição a riscos de segurança da informação Alto Decisões automatizadas sem supervisão adequada Alto Viés algorítmico Médio Falta de definição de responsabilidade Alto Desalinhamento com exigências regulatórias Alto Dependência tecnológica sem estratégica Médio Riscos éticos e jurídicos da inteligência artificial nas empresas Se os riscos operacionais mostram como a IA afeta processos e segurança, os riscos éticos e jurídicos expõem um ponto ainda mais sensível: a capacidade da empresa de sustentar as decisões que envolvem inteligência artificial e responder por elas. Ao incorporar a IA aos fluxos internos, a área de TI assume um papel que ultrapassa a gestão de infraestrutura e passa a influenciar, ainda que indiretamente, decisões com efeitos legais, regulatórios e reputacionais. Esse cenário já se reflete no ambiente regulatório. Iniciativas como o AI Act, na Europa, e projetos de lei em discussão no Brasil indicam uma direção clara: sistemas de IA começam a ser avaliados também sob critérios de transparência, segurança e responsabilidade. À medida que essas ferramentas influenciam análises, recomendações e decisões, aumenta a necessidade de garantir que os resultados possam ser compreendidos, justificados e auditados. Sem esse cuidado, surgem situações como: Para profissionais e gestores de TI, esse contexto traz implicações diretas. A arquitetura tecnológica, as integrações realizadas e as ferramentas autorizadas passam a determinar não apenas a eficiência operacional, mas também o nível de exposição da organização a riscos éticos e jurídicos. Isso exige a definição de critérios que permitam utilizar a IA com previsibilidade, rastreabilidade e responsabilidade. Nesse contexto, transparência, explicabilidade e accountability (responsabilidade) integram requisitos técnicos e operacionais. A discussão sobre ética em IA, portanto, se conecta à forma como a organização estrutura sua governança, define limites de uso e estabelece mecanismos de controle, fatores determinantes para um uso seguro e sustentável da tecnologia.  Como estruturar uma política de uso de IA na prática A análise dos riscos operacionais, éticos e jurídicos evidencia um ponto comum – a ausência de critérios formais para orientar o uso da inteligência artificial dentro das organizações. Diante desse cenário, a definição de uma política de uso de IA não deve ser tratada como um documento acessório, mas como parte integrante da governança tecnológica e da estratégia de gestão de riscos. Na prática, essa política funciona como um instrumento que estabelece limites, responsabilidades e diretrizes para o uso da IA, alinhando inovação à segurança, conformidade e previsibilidade operacional. Para que seja efetiva, a política precisa partir de um mapeamento claro: em que áreas a IA está sendo utilizada, por quem e com qual finalidade? Sem esse diagnóstico, qualquer tentativa de controle tende a ser incompleta. A partir disso, alguns elementos se tornam indispensáveis. Elementos essenciais de uma política de uso de IA Uma política bem estruturada deve contemplar, no mínimo: 1. Definição de usos permitidos e restritos Estabelecer quais tipos de dados podem ser utilizados e em quais contextos a IA pode ser aplicada, com atenção especial a informações sensíveis ou estratégicas. 2. Diretrizes de validação e revisão Determinar quando a revisão humana é obrigatória, especialmente em processos que envolvem tomada de decisão ou comunicação externa. 3. Regras para uso de ferramentas externas Definir os critérios para a utilização de plataformas públicas ou de terceiros, reduzindo os riscos associados a Shadow IT e à exposição de dados. 4. Responsabilidade (accountability) Formalizar quem responde pelo uso da IA em cada contexto, evitando lacunas em situações de falha ou incidente. 5. Integração com políticas de segurança da informação Garantir que o uso da IA esteja alinhado a frameworks já adotados, como práticas relacionadas com a ISO/IEC 27001. 6. Treinamento e conscientização Orientar os colaboradores sobre riscos, limites e boas práticas, reduzindo o uso inadequado por desconhecimento. Mais do que restringir seu uso, essa estrutura permite que a IA seja incorporada de forma controlada, com clareza sobre seus limites e impactos. Dessa forma, há a redução de exposições e a criação de um ambiente em que a tecnologia pode ser utilizada com maior segurança e consistência. Ao mesmo tempo, evidencia-se um ponto importante: a governança de IA depende não apenas de tecnologia, mas de conhecimento aplicado. É nesse contexto que a capacitação de equipes ganha relevância, especialmente para profissionais responsáveis por segurança da informação, compliance e gestão de TI. 6 soluções de inteligência artificial nas empresas para serem acompanhadas de perto A definição de uma política de uso de IA estabelece limites e responsabilidades. No entanto, a governança só se consolida quando a organização também adota critérios claros para avaliar as ferramentas que pretende utilizar. Isso ocorre porque a escolha de soluções de IA impacta diretamente todos os riscos discutidos anteriormente, desde a exposição de dados até a dependência tecnológica e a conformidade regulatória. Atualmente, diferentes ferramentas oferecem níveis distintos de controle, transparência e integração com ambientes corporativos. Sem critérios definidos, a adoção tende a ocorrer por conveniência ou popularidade, o que amplia o risco de decisões desalinhadas à estratégia da empresa. Por esse motivo, acompanhar o mercado de IA não significa apenas conhecer novas soluções, mas entender como cada uma delas se encaixa, ou não, nos requisitos de governança, segurança e compliance. Veja a seguir 6 soluções de IA para serem acompanhadas de perto pelas empresas Algumas plataformas têm se destacado no uso corporativo, seja pela capacidade técnica, seja pela evolução de recursos voltados para a governança. 1. Databricks Mosaic AI Integrada ao ecossistema de dados da Databricks, a Mosaic AI permite desenvolver, treinar e implantar modelos diretamente sobre pipelines de dados corporativos. O diferencial está na governança nativa: controle de dados, versionamento e integração com lakehouses. É uma abordagem que aproxima a IA da engenharia de dados e reduz o uso disperso de ferramentas externas. 2.  Snowflake Cortex Inserida dentro da plataforma de dados da Snowflake, a Cortex permite aplicar modelos de IA diretamente sobre dados armazenados no data cloud, sem necessidade de movimentação para ambientes externos. Isso reduz os riscos associados à transferência de dados e facilita o controle de acesso, um ponto crítico para a governança de IA. 3. AWS Bedrock Serviço da Amazon que permite acessar e orquestrar múltiplos modelos de IA generativa com controle de dados e integração com serviços da nuvem AWS. O foco está em permitir o uso corporativo com camadas de segurança, isolamento e governança mais robusta do que ferramentas públicas abertas. 4. ChatGPT (OpenAI) Amplamente utilizado em atividades como geração de conteúdo, apoio a análises e automação de tarefas cognitivas. Em ambientes corporativos, versões com maior controle de dados e gestão de usuários ganham relevância, especialmente para reduzir riscos associados a seu uso indiscriminado. 5. Claude (Anthropic) Posicionado com foco em segurança e alinhamento de respostas, apresenta abordagens voltadas para a redução de riscos em outputs. É frequentemente considerado em cenários que exigem maior previsibilidade e controle do comportamento do modelo. 6. Microsoft Copilot (integração com o Microsoft 365 e o Azure) Destaca-se pela integração com ferramentas já utilizadas no ambiente corporativo. Permite incorporar a IA a fluxos de trabalho existentes, com maior aderência a políticas de segurança e governança já implementadas pela organização. A análise dessas soluções não deve se limitar à funcionalidade. Para profissionais de TI e gestores, alguns critérios precisam orientar a decisão: Esse tipo de avaliação conecta diretamente a escolha tecnológica à governança de IA. Ou seja, a decisão sobre qual ferramenta utilizar passa a ser também uma resolução sobre risco, conformidade e sustentabilidade operacional. Governança de IA como prática contínua: o próximo passo para empresas e gestores A análise dos riscos, das implicações éticas e das decisões tecnológicas evidencia um ponto comum – o uso de inteligência artificial já faz parte da operação, mas nem sempre está acompanhado de critérios estruturados. Nesse cenário, a governança de IA não se resume à criação de um documento ou à definição de regras pontuais. Ela envolve a construção de um modelo contínuo, capaz de acompanhar a evolução das ferramentas, adaptar-se a novos riscos e orientar decisões técnicas com base em segurança, conformidade e responsabilidade. Por isso, profissionais e gestores que atuam com tecnologia precisam lidar com questões que combinam arquitetura de sistemas, proteção de dados, avaliação de riscos e interpretação regulatória. A ausência desse preparo limita a capacidade da organização de utilizar a IA com segurança e consistência. Ao mesmo tempo, organizações que estruturam sua governança conseguem avançar com maior controle, reduzindo a exposição e criando condições para uso estratégico da tecnologia. Nesse ponto, a capacitação faz parte da própria estratégia de TI. Para as equipes que precisam lidar com esses desafios na prática, a formação em governança de IA oferece um caminho estruturado para compreender: A Escola Superior de Redes oferece a formação Governança de IA para todos e outros cursos correlatos, desenvolvidos para profissionais que atuam diretamente com tecnologia, segurança da informação e gestão. O primeiro curso aborda desde os fundamentos da governança até sua aplicação prática, conectando o uso da IA às exigências reais do ambiente corporativo, Se a sua empresa já utiliza a inteligência artificial, mesmo que de forma distribuída, este é o momento de estruturar esse uso com critérios claros. 👉 Conheça a formação e prepare sua equipe para atuar com a IA de forma segura, rastreável e alinhada às exigências atuais. Quero conhecer melhor a formação de governança de IA da ESR 10 perguntas frequentes sobre sobre IA nas empresas 1. O que é governança de IA e por que ela é importante? Governança de IA é o conjunto de diretrizes, controles e responsabilidades que orientam o uso da inteligência artificial dentro da organização. Ela é importante porque define como a tecnologia pode ser utilizada com segurança, previsibilidade e conformidade, reduzindo os riscos operacionais, jurídicos e reputacionais. 2. Quais são os principais riscos da inteligência artificial para as empresas? Os principais riscos incluem uso indevido de dados sensíveis, falta de rastreabilidade nas decisões, respostas incorretas não verificadas, exposição a falhas de segurança, conflitos regulatórios e ausência de definição de responsabilidade. Esses riscos aumentam quando a IA é adotada sem critérios claros de uso e controle. 3. O uso de IA pode violar a LGPD? Sim, especialmente quando envolve o tratamento inadequado de dados sensíveis. Isso pode ocorrer, por exemplo, quando informações são inseridas em ferramentas externas sem controle, quando não há transparência sobre o uso dos dados ou quando decisões automatizadas afetam titulares sem critérios claros. 4. O que é Shadow IT em inteligência artificial? Shadow IT em IA ocorre quando os colaboradores utilizam ferramentas de inteligência artificial sem conhecimento ou aprovação da área de TI. Esse comportamento reduz a visibilidade sobre o uso da tecnologia, dificulta o controle de dados e pode gerar riscos de segurança e compliance. 5. Minha empresa precisa de uma política de uso de IA? Sim. A política de uso de IA estabelece regras claras sobre como a tecnologia pode ser utilizada, quais dados podem ser processados, quem é responsável pelos resultados e quais controles devem ser aplicados. Sem essa definição, o uso tende a ocorrer de forma desestruturada. 6. Quem deve ser responsável pelo uso de IA na empresa? A responsabilidade deve ser formalmente definida pela organização. Normalmente envolve uma combinação entre as áreas de TI, segurança da informação, compliance e áreas de negócio que utilizam a tecnologia. O importante é que exista clareza sobre a accountability em caso de falhas ou incidentes. 7. Como começar a implementar governança de IA? O primeiro passo é mapear quais áreas utilizam a IA e de que forma. Em seguida, é necessário definir as diretrizes de uso, os critérios de segurança, as responsabilidades e os processos de validação. A capacitação das equipes também é essencial para garantir a aplicação prática dessas diretrizes. 8. A governança de IA é só para grandes empresas? Não. Empresas de todos os portes utilizam IA, mesmo que de forma indireta. Quanto mais cedo a governança for estruturada, menor o risco de exposição e maior a capacidade de usar a tecnologia de forma estratégica. Quero conhecer melhor a formação de governança de IA da ESR

Quando falamos em firewall lento no meio corporativo, estamos nos referindo a situações em que o equipamento de segurança já não consegue processar o volume de tráfego, inspeções e conexões exigidos pela operação sem provocar impactos perceptíveis na rede. Durante muito tempo, problemas de lentidão eram atribuídos quase automaticamente à operadora de internet. Hoje, esse diagnóstico já não explica boa parte dos incidentes relacionados com desempenho. O crescimento do tráfego criptografado, a consolidação de aplicações SaaS, videoconferências e serviços corporativos em nuvem transformaram o firewall em um dos principais pontos de processamento da infraestrutura corporativa. Em paralelo, plataformas como Microsoft 365, Zoom, ERPs online e sistemas integrados mantêm conexões contínuas e alto volume de tráfego criptografado, exigindo a inspeção permanente do tráfego. Como consequência, em muitos ambientes, o equipamento está operacional, porém trabalha próximo do limite de CPU, memória e throughput de firewall.  O cenário se torna ainda mais complexo porque diversos desses sintomas acabam associados ao link de internet, quando a origem real está no processamento interno do firewall. Em outras palavras, a conectividade externa permanece funcional, mas o equipamento responsável por inspecionar, validar e encaminhar o tráfego não consegue responder no mesmo ritmo exigido pela operação. Boa parte desse comportamento está ligada à própria evolução da segurança de redes corporativas. Atualmente, além do controle tradicional de conexões, muitos firewalls também executam simultaneamente: Cada uma dessas camadas amplia o consumo de CPU, memória e capacidade de inspeção em tempo real, especialmente em infraestruturas com alto volume de conexões simultâneas e aplicações em nuvem. Segundo a Fortinet, os Fortinet NGFWs (Next-Generation Firewalls) combinam múltiplos mecanismos de análise e proteção simultânea, o que aumenta significativamente a necessidade de dimensionamento adequado da infraestrutura e administração especializada para equilibrar proteção e desempenho de rede. Por compreender esse cenário, a  Escola Superior de Redes decidiu abordar: Você também pode gostar: Gestão da Continuidade de Negócios: O que você precisa saber  Os principais sinais de degradação relacionados com o firewall 1. Latência alta e perda de desempenho em horários de pico Um dos sinais mais comuns de gargalo de rede aparece nos momentos de maior utilização da infraestrutura. No início do expediente, durante reuniões simultâneas em períodos de maior consumo de aplicações SaaS, o tempo de resposta aumenta de forma perceptível.  Chamadas começam a travar, sistemas ficam intermitentes e aplicações em nuvem demoram mais para carregar. Esse comportamento normalmente indica saturação de processamento do firewall, especialmente em ambientes com alto volume de conexões criptografadas. À medida que cresce o número de sessões simultâneas, o equipamento precisa descriptografar, inspecionar e validar mais tráfego em tempo real.  Em firewalls subdimensionados, o impacto costuma surgir primeiro em aplicações sensíveis à latência. 2. Quedas recorrentes em aplicações SaaS e videoconferências Plataformas como Microsoft Teams, Zoom, Google Meet e sistemas corporativos em nuvem dependem de baixa latência contínua para manter a estabilidade operacional. Quando o firewall demora para processar políticas, inspeções SSL/TLS e sessões simultâneas, a comunicação começa a apresentar falhas perceptíveis. O resultado aparece em travamentos durante reuniões, perda de qualidade em chamadas, sincronização lenta de arquivos e desconexões intermitentes. Com frequência, o link contratado continua saudável. O problema está no tempo que o firewall leva para analisar e encaminhar o tráfego. 3. Uso excessivo de CPU e memória no firewall A elevação constante do consumo de CPU e memória é outro forte indicativo de firewall corporativo operando próximo do limite. Isso ocorre principalmente quando o equipamento executa múltiplas funções simultaneamente, como: Quanto maior o volume de tráfego criptografado e conexões persistentes, maior também a exigência sobre os recursos internos do equipamento. Em cenários mais críticos, filas internas de processamento começam a surgir, reduzindo o desempenho geral da rede. 4. Logs com packet drop e saturação de sessões Outro sinal importante aparece nos próprios registros do firewall. Mensagens relacionadas com packet drop, descarte de sessões ou exaustão da session table indicam que o equipamento já não consegue administrar adequadamente o volume de conexões ativas. Esse tipo de comportamento tende a crescer em ambientes com aplicações SaaS, acessos remotos simultâneos, videoconferências e integrações em nuvem. Sem capacidade suficiente de processamento, o firewall passa a descartar o tráfego legítimo para preservar a estabilidade mínima da operação. 5. Dificuldade para ativar novos recursos de segurança Em muitos ambientes, equipes de infraestrutura evitam ativar funcionalidades avançadas porque sabem que a rede perderá desempenho. Esse é um dos sinais mais claros de limitação estrutural do firewall. Recursos como IPS, inspeção SSL/TLS completa, análise comportamental e filtragem avançada ampliam significativamente o consumo de processamento. Quando a infraestrutura já opera próxima do limite, qualquer nova camada de segurança aumenta o risco de lentidão e instabilidade. O problema deixa de ser apenas operacional e passa a impactar diretamente a maturidade da segurança da informação. Quais fatores aumentam a sobrecarga desses equipamentos? O comportamento de um firewall lento não depende apenas da quantidade de usuários conectados. A sobrecarga normalmente está associada à combinação entre volume de tráfego, complexidade das inspeções e crescimento contínuo de aplicações modernas. Entre os fatores mais relevantes estão: Fator Impacto sobre o firewall Tráfego SSL/TLS elevado Aumenta o consumo de CPU durante a descriptografia Aplicações SaaS Mantêm sessões persistentes e conexões simultâneas DPI e IPS ativados Elevam o processamento em tempo real Videoconferências Exigem baixa latência contínua Equipamentos antigos Limitam o throughput real de inspeção Políticas excessivamente complexas Aumentam o tempo de análise do tráfego Além disso, muitos ambientes continuam utilizando equipamentos dimensionados para uma realidade anterior à explosão do tráfego criptografado e da computação em nuvem. Você também pode gostar: Cursos de governança de TI imperdíveis para você se especializar!  Como desenvolver estratégias mais avançadas de dimensionamento e administração Resolver um problema de latência de firewall não significa apenas substituir hardware. O processo exige análise técnica sobre throughput real de inspeção, volume de sessões simultâneas, políticas aplicadas e comportamento do tráfego corporativo. Geralmente, a degradação surge porque o ambiente cresceu mais rápido do que a arquitetura de segurança. Por isso, algumas práticas tornaram-se fundamentais: 1. Monitorar as métricas reais de desempenho Avaliar apenas o link de internet já não é suficiente. É necessário acompanhar indicadores como: Esses dados permitem identificar gargalos antes que o impacto atinja aplicações críticas. 2. Revisar políticas e inspeções desnecessárias Ambientes que acumulam regras excessivas ou inspeções mal configuradas tendem a consumir mais processamento do que o necessário. A revisão periódica das políticas ajuda a reduzir carga operacional e melhorar o desempenho do firewall. 3. Dimensionar a infraestrutura para o tráfego atual O throughput informado em especificações comerciais nem sempre representa o desempenho real com todos os recursos ativados. Dessa forma, o dimensionamento precisa considerar: Acessos remotos simultâneos. 4. Capacitar equipes para administrar arquiteturas modernas Os gargalos também estão relacionados com a administração inadequada do ambiente. Configurações incorretas, políticas mal distribuídas e ausência de monitoramento aumentam o risco de degradação da infraestrutura. Esse cenário torna o conhecimento técnico indispensável para a continuidade operacional das empresas. Identifique o estado do seu firewall antes que o gargalo afete toda a operação Na TI, a limitação pode ser detectada quando a lentidão já compromete aplicações, produtividade e estabilidade operacional. Por esse motivo, mapear o consumo de CPU, throughput real de inspeção, volume de sessões simultâneas, uso de SSL inspection e comportamento das aplicações críticas precisa ser parte essencial da administração moderna de redes. A ESR capacita profissionais para atuar exatamente nesse cenário, com foco prático em administração de segurança, desempenho de rede e configuração de firewalls corporativos de alta performance. No curso Administração de segurança de redes com FortiGate (NUV-012), os alunos aprendem a: Conheça o curso Administração de segurança de redes com FortiGate FAQ – Perguntas frequentes sobre firewall lento e gargalos de rede corporativa 1. Como saber se o firewall é o responsável pela lentidão da rede? Os sinais mais comuns incluem aumento de latência, travamentos em videoconferências, lentidão em aplicações SaaS, packet drop e crescimento excessivo do uso de CPU e memória do firewall. 2. O tráfego criptografado pode deixar o firewall lento? Sim. A inspeção SSL/TLS exige descriptografia e análise contínua do tráfego, aumentando significativamente o consumo do processamento. 3. O que é throughput de firewall? É a capacidade do equipamento de processar tráfego por segundo. O throughput real costuma variar conforme os recursos de inspeção ativados. 4. Firewalls antigos conseguem suportar aplicações modernas em nuvem? Depende da capacidade de processamento e do volume de tráfego. Muitos equipamentos apresentam gargalo ao lidar com aplicações SaaS e inspeção SSL em larga escala. 5. Qual a diferença entre firewall tradicional e NGFW? Os NGFWs adicionam funcionalidades avançadas como DPI, IPS, inspeção SSL/TLS e análise de aplicações, ampliando a proteção e também a exigência de processamento. QUERO ME INSCREVER NAS  TURMAS DA ESR

Neste guia você vai saber qual certificação EXIN é ideal para o mercado de trabalho em 2026, tendo em vista que a proteção de dados passou a ocupar posição permanente nas estratégias de tecnologia, governança e conformidade das organizações. Desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), empresas e órgãos públicos vêm estruturando programas de governança de dados e ampliando a demanda por profissionais capazes de implementar, manter e auditar esses processos. Em paralelo, o aumento da fiscalização e a evolução das regulamentações publicadas pela Autoridade Nacional de Proteção de Dados (ANPD) reforçam que a conformidade não é mais tratada como um projeto pontual, mas como uma atividade contínua, integrada à gestão de riscos e à estratégia institucional. Nesse cenário, a qualificação formal por meio de certificações internacionais é extremamente relevante para profissionais que desejam atuar com segurança da informação, privacidade e governança de dados de forma estruturada. Tem interesse em aprimorar suas habilidades e garantir maior espaço no mercado? Saiba por onde começar no guia a seguir, elaborado pela EXIN, uma das maiores organizações de certificação em TI.  O que é a EXIN e por que suas certificações são reconhecidas internacionalmente? A EXIN é uma organização internacional de certificação fundada em 1984, responsável por avaliar e validar competências profissionais em áreas como segurança da informação, gestão de serviços, governança e privacidade.  Ao longo de sua trajetória, a instituição certificou quase 3 milhões de profissionais em mais de 165 países, consolidando sua presença global e reconhecimento no mercado de tecnologia. Esse alcance internacional faz com que as certificações da EXIN sejam utilizadas por empresas e órgãos públicos como referência objetiva para a comprovação de conhecimento técnico e aderência a padrões reconhecidos, como a família de normas ISO/IEC 27000. Além disso, a EXIN mantém programas estruturados de career paths que organizam certificações em trilhas progressivas de aprendizado, permitindo que profissionais evoluam de fundamentos teóricos até níveis mais avançados de aplicação prática. Como funciona uma trilha de certificação em proteção de dados? Uma trilha de certificação é um conjunto de qualificações organizadas em sequência lógica, no qual cada etapa aprofunda o conhecimento adquirido anteriormente e prepara o profissional para responsabilidades mais complexas. No campo da proteção de dados, essa progressão normalmente parte da segurança da informação, que estabelece as bases técnicas para a proteção de ativos, e avança para privacidade, governança e aplicação prática das normas e legislações. A seguir, é apresentado um roadmap típico dessa evolução profissional, considerando as certificações EXIN ofertadas pela Escola Superior de Redes. Roadmap de certificação em proteção de dados Etapa 1) Fundamentos de segurança da informação O primeiro passo para atuar com proteção de dados é compreender como as organizações protegem seus ativos de informação.  Esse conhecimento é estruturado por meio de frameworks de gestão, como o Sistema de Gestão de Segurança da Informação (SGSI) previsto na ISO/IEC 27001. A certificação Information Security Foundation (baseada na ISO/IEC 27001) valida a compreensão de conceitos como: Esse nível é considerado o ponto de entrada para carreiras em segurança da informação e serve de base para certificações posteriores mais especializadas. Etapa 2) Especialização em privacidade e proteção de dados Depois de compreender os mecanismos de segurança, o profissional passa a estudar como esses controles se relacionam com os requisitos legais e regulatórios. Nesse estágio, são abordados temas como: A certificação Privacy & Data Protection Essentials introduz esses conceitos, enquanto a Privacy & Data Protection Foundation aprofunda o entendimento sobre frameworks de privacidade e regulamentações internacionais, incluindo a GDPR europeia. Etapa 3) Aplicação prática e atuação profissional O nível seguinte da trilha concentra-se na aplicação dos conceitos de privacidade e segurança no contexto real das organizações. Nesse estágio, o profissional é preparado para: A certificação Privacy and Data Protection Practitioner valida a capacidade de aplicar na prática o conhecimento sobre legislação e governança de dados, demonstrando preparo para funções como analista de privacidade, consultor ou assistente do encarregado de dados (DPO). Etapa Certificação EXIN Foco principal Indicado para Fundamentos Information Security Foundation (ISO/IEC 27001) Conceitos de segurança, riscos, controles e SGSI. Profissionais iniciantes em segurança da informação e privacidade. Privacidade Privacy & Data Protection Essentials Introdução à LGPD e aos princípios e papéis no tratamento de dados.  Profissionais que desejam compreender a estrutura da proteção de dados. Estruturação Privacy & Data Protection Foundation Frameworks de privacidade e regulamentações internacionais. Analistas e gestores que atuam na implementação de programas de privacidade. Aplicação prática Privacy and Data Protection Practitioner Implementação de controles, avaliações de impacto e governança. Profissionais responsáveis por executar e manter programas de proteção de dados. Como essa trilha se conecta à carreira em proteção de dados? O planejamento de carreira em proteção de dados envolve mais do que a obtenção de um único certificado.  As organizações costumam buscar profissionais que demonstrem progressão estruturada de competências, desde a compreensão dos fundamentos de segurança até a capacidade de aplicar normas e regulamentações em cenários complexos. Ao seguir uma trilha organizada, o profissional constrói um percurso formativo coerente, no qual cada certificação reforça e valida habilidades adquiridas em etapas anteriores.  Esse modelo facilita tanto a evolução técnica individual quanto a avaliação de competências por parte de recrutadores e gestores de equipes. O papel da capacitação contínua em um cenário regulatório em evolução A agenda regulatória da ANPD para o biênio 2025–2026 estabelece prioridades de fiscalização e desenvolvimento normativo, indicando que temas como governança, direitos dos titulares e tratamento de dados sensíveis continuarão sendo aprofundados nos próximos anos. Esse contexto reforça a necessidade de atualização constante dos profissionais que atuam com dados pessoais, já que mudanças regulatórias e tecnológicas podem exigir revisões em processos, controles e políticas organizacionais. Certificações internacionais, como da EXIN, por seguirem frameworks e padrões amplamente reconhecidos, tendem a acompanhar essa evolução e oferecer um referencial estável para o desenvolvimento de competências ao longo do tempo. Próximos passos para iniciar a trilha de certificação Profissionais interessados em atuar com segurança da informação e privacidade podem iniciar sua jornada pela certificação de fundamentos, evoluindo gradualmente para níveis mais avançados conforme sua experiência e responsabilidades profissionais se ampliam. A Escola Superior de Redes oferece cursos preparatórios oficiais em parceria com a EXIN, com material alinhado aos exames de certificação e suporte acadêmico voltado tanto para profissionais individuais quanto para equipes corporativas e órgãos públicos. As turmas são ofertadas periodicamente ao longo do ano, com vagas limitadas para manter a qualidade do acompanhamento pedagógico. [QUERO ME CERTIFICAR PELA EXIN]

O conceito de cloud sovereignty, ou soberania de dados na nuvem, está ligado à capacidade de uma organização manter controle sobre onde seus dados são armazenados, quem pode acessá-los e sob quais leis essas informações são protegidas, mesmo quando utiliza infraestruturas de nuvem operadas por terceiros. Trata-se de um termo essencial para a tecnologia da informação moderna, tendo em vista que a computação em nuvem foi construída com a promessa de elasticidade e alcance global, permitindo que aplicações e dados fossem distribuídos entre data centers em diferentes países com relativa transparência para o usuário. Durante anos, organizações adotaram infraestruturas distribuídas em múltiplos territórios sem que a localização física dos dados fosse uma preocupação central. A prioridade recaía sobre a disponibilidade, o desempenho e o custo operacional. No entanto, o cenário geopolítico e regulatório atual transformou essa percepção. Hoje, saber onde o dado reside e quem tem o direito legal de acessá-lo não é apenas uma questão técnica, mas um imperativo estratégico e de conformidade. Em 2026, além de proteger dados contra vazamentos e acessos indevidos, tornou-se necessário garantir que essas informações permaneçam sob jurisdições compatíveis com a legislação aplicável. Na prática, isso significa que uma empresa brasileira que utiliza serviços de nuvem hospedados em outro país precisa avaliar não apenas a segurança técnica da infraestrutura, mas também quais autoridades podem legalmente requisitar acesso a esses dados e quais leis se aplicam ao seu tratamento. Esse tipo de análise envolve aspectos como transferência internacional de dados, jurisdição de dados e requisitos específicos da LGPD para dados armazenados no exterior. Ou seja, é imprescindível que gestores e especialistas compreendam como decisões aparentemente técnicas, como escolher a região de um data center, podem gerar impactos jurídicos, contratuais e regulatórios. Ao longo deste conteúdo, você encontrará explicações sobre: A nuvem sem fronteiras acabou? O modelo inicial de nuvem pública pressupunha que dados e aplicações poderiam ser distribuídos livremente entre regiões, com base em critérios de custo, disponibilidade e desempenho. Essa lógica funcionou enquanto a principal preocupação das organizações era garantir continuidade de serviço e escalabilidade. Com o avanço das legislações de proteção de dados e de normas que tratam de segurança nacional e soberania digital, governos e órgãos reguladores passaram a exigir maior controle sobre onde dados sensíveis são armazenados e quem pode acessá-los. Um exemplo concreto desse movimento é a criação de ofertas específicas de nuvem soberana por grandes provedores. A própria Microsoft estruturou o Microsoft Sovereign Cloud como uma resposta direta às exigências regulatórias de países europeus, permitindo que dados sejam processados e gerenciados dentro de limites jurídicos definidos. Da mesma forma, outros provedores como Amazon Web Services e Google Cloud passaram a oferecer regiões específicas, controles de data residency e modelos de nuvem soberana para atender a esse novo cenário regulatório. Embora a mudança não indique o abandono total da nuvem, evidencia a necessidade da adoção de mecanismos que conciliem a escalabilidade das plataformas globais com as exigências legais locais.  Portanto, a resposta para a pergunta “A nuvem sem fronteiras acabou?” é que o modelo global e irrestrito perdeu espaço, sendo substituído por arquiteturas em que a localização, o controle e a jurisdição dos dados se tornaram critérios obrigatórios de decisão.  O que é cloud sovereignty e por que o conceito ganhou força? O significado de cloud sovereignty refere-se à garantia de que os dados de uma organização permanecem sob sua jurisdição legal e controle técnico, independentemente de onde o provedor de nuvem esteja sediado. Esse controle envolve três dimensões principais: a localização física dos dados, as condições de acesso e a independência tecnológica em relação ao fornecedor. Segundo a própria Microsoft, “soberania digital não significa isolamento, mas, sim, a capacidade de exercer governança autônoma em um ambiente digital globalmente conectado”. Um conceito que ganhou força à medida que regulações nacionais e internacionais passaram a impor restrições à transferência e ao tratamento de dados fora de determinadas fronteiras.  Leis como a LGPD, na esfera brasileira, e o Cloud Act, nos Estados Unidos, tornaram evidente que a localização dos dados e a jurisdição aplicável podem gerar obrigações e riscos distintos para as organizações. Hoje, a cloud sovereignty, também chamada soberania de dados na nuvem ou soberania digital, integra as decisões de arquitetura, compliance e governança de TI.  Por isso, a escolha de um provedor, de uma região de hospedagem ou de um modelo de implantação envolve critérios técnicos e também avaliações jurídicas e estratégicas. Diferentemente dos modelos de nuvem pública global, em que dados podem estar distribuídos por vários países sem visibilidade direta para o cliente, assovereign clouds são estruturadas para atender a leis locais, expectativas regulatórias e requisitos de autonomia operacional. Isso pode incluir processamento restrito a um território, controles de acesso por pessoal local e mecanismos de criptografia gerenciados pelo próprio cliente. Os pilares da soberania de dados na nuvem A soberania de dados em nuvem não é um conceito único e rígido. Diferentes provedores e frameworks de segurança descrevem seus pilares de formas distintas, variando entre abordagens jurídicas, operacionais e técnicas.  Apesar das diferenças de nomenclatura, todos os modelos convergem para um objetivo comum: garantir que organizações mantenham controle efetivo sobre seus dados, mesmo em ambientes de nuvem distribuídos. É importante, primeiro, entender a diferença entre: De forma consolidada, é possível agrupar os principais pilares da soberania digital em quatro dimensões práticas: Entenda cada um deles abaixo.  1. Residência de dados A residência de dados, ou data residency, trata da localização física das informações e responde à pergunta mais direta dentro do contexto de soberania: em qual país ou região os dados estão armazenados e replicados? Esse aspecto é essencial para atender legislações que impõem restrições à transferência internacional de dados ou exigem armazenamento local de informações sensíveis.  Em ambientes de nuvem, isso envolve não apenas o data center primário, mas também réplicas, backups e mecanismos de redundância geográfica. 2. Privacidade e controle de acesso O segundo pilar envolve a capacidade de restringir o acesso aos dados e garantir que apenas entidades autorizadas possam visualizá-los, administrá-los ou processá-los. Ou seja, abarca quem pode visualizar e administrar os dados. Para isso, são incluídos mecanismos como segregação de ambientes, autenticação forte, controle de identidade e uso de chaves criptográficas sob controle do cliente. Mesmo quando os dados permanecem fisicamente em um país específico, a soberania pode ser comprometida se administradores externos ou autoridades estrangeiras tiverem meios legais ou técnicos de acessá-los. 3. Segurança e resiliência A soberania também depende da capacidade de manter dados disponíveis e protegidos mesmo diante de falhas técnicas, ataques ou interrupções operacionais. Em outras palavras, como os dados são protegidos contra falhas e incidentes. Por esse motivo, frameworks modernos incluem criptografia em repouso, em trânsito e em uso, além de mecanismos de continuidade de negócios e recuperação de desastres como elementos centrais da soberania digital. Esse pilar conecta diretamente soberania a requisitos clássicos de segurança da informação, como os controles previstos em normas como a ISO/IEC 27001. 4. Controles legais e contratuais Por fim, a soberania de dados envolve a jurisdição aplicável e as proteções legais associadas ao tratamento dessas informações. Abrange sob quais leis e obrigações os dados estão protegidos. É um pilar que define quais autoridades podem solicitar acesso aos dados, quais leis se aplicam ao seu processamento e quais salvaguardas contratuais existem entre cliente e provedor. Nesse ponto, entram temas como transferência internacional de dados, cláusulas contratuais padrão e conflitos entre legislações, como ocorre em cenários envolvendo o Cloud Act. Resumo dos pilares da soberania de dados em nuvem e o que cada um representa Pilar  O que significa na prática Pergunta que responde Residência de dados Define em quais países ou regiões os dados são armazenados e replicados Onde meus dados estão fisicamente? Privacidade e controle de acesso Determina quem pode visualizar, administrar ou processar as informações Quem pode acessar meus dados e sob quais permissões? Segurança e resiliência Garante proteção contra vazamentos, ataques e falhas, além de assegurar continuidade operacional Meus dados estão protegidos e disponíveis em caso de incidentes? Controles legais e jurisdicionais Estabelece quais leis se aplicam ao tratamento dos dados e quais autoridades podem requisitar acesso Sob quais leis meus dados estão protegidos? Essa visão consolidada permite que organizações avaliem sua postura de soberania de forma objetiva, sem depender da terminologia específica de um fornecedor ou de um único framework de segurança. Na prática, isso significa que uma empresa só pode afirmar que possui soberania sobre seus dados quando consegue responder de forma clara e auditável às quatro perguntas apresentadas na tabela: localização, acesso, proteção e jurisdição. Como a soberania de dados impacta a LGPD e a transferência internacional? A visão de uma nuvem global e onipresente colidiu com a realidade da proteção de dados e da segurança nacional.  Governos perceberam que depender de provedores estrangeiros para serviços críticos cria uma vulnerabilidade estratégica. Portanto, a nuvem hoje é “fronteirada” por políticas, e ela continua global na escala, mas local na execução e na conformidade. A soberania de dados, por sua vez, tem relação direta com a forma como a Lei Geral de Proteção de Dados (LGPD) trata a transferência internacional de dados pessoais. Embora a legislação brasileira não proíba o armazenamento ou processamento de dados no exterior, ela estabelece condições específicas para que essa transferência ocorra de forma lícita e segura. Ou seja, o uso de provedores de nuvem com data centers fora do Brasil não é irregular por si só. O problema surge quando a organização não consegue demonstrar quais garantias existem para proteger os dados após a saída do território nacional. A LGPD determina que a transferência internacional de dados só pode ocorrer quando o país de destino oferece um nível de proteção adequado ou quando existem mecanismos formais, como cláusulas contratuais específicas, normas corporativas globais ou certificações reconhecidas. Se uma empresa brasileira armazena dados em uma nuvem cujos servidores estão nos Estados Unidos ou na Europa, ela está realizando uma transferência internacional.  A soberania entra nesse contexto como o mecanismo que garante que, mesmo fora do país, o dado tenha um nível de proteção equivalente ao exigido pela lei brasileira ou que ferramentas técnicas (como a anonimização) retirem o dado do escopo de “dado pessoal” antes da saída. “CAPÍTULO V DA TRANSFERÊNCIA INTERNACIONAL DE DADOS Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei; […]”  Esse ponto conecta diretamente a soberania de dados com decisões técnicas de infraestrutura. Ao escolher a região de hospedagem de um serviço em nuvem, a organização está, na prática, decidindo quais legislações estrangeiras podem influenciar o tratamento dessas informações. Quando leis estrangeiras podem acessar seus dados? Mesmo quando uma organização define corretamente a região de armazenamento de seus dados e adota controles técnicos adequados, ainda existe um fator que pode comprometer a soberania digital – a aplicação de legislações estrangeiras sobre provedores de nuvem globais. Um dos exemplos mais citados nesse contexto é o já comentado por aqui Cloud Act (Clarifying Lawful Overseas Use of Data Act), legislação dos Estados Unidos que permite que autoridades norte-americanas solicitem acesso a dados armazenados por empresas sob sua jurisdição, independentemente do local físico onde essas informações estejam armazenadas. Isso significa que, mesmo que os dados estejam hospedados em um data center localizado no Brasil ou na União Europeia, eles podem ser requisitados por autoridades estrangeiras caso o provedor de nuvem esteja sujeito a leis de outro país.  Esse cenário tende a criar um conflito direto entre a soberania nacional, as leis de proteção de dados locais e as obrigações legais do fornecedor de tecnologia. Principais riscos jurídicos e operacionais desse cenário Quando legislações com alcance extraterritorial entram em jogo, organizações passam a enfrentar uma série de riscos que vão além da segurança técnica dos dados. Entre os principais, destacam-se: Esses riscos mostram que a soberania de dados não depende apenas da escolha da região de hospedagem, mas também da análise das leis às quais o provedor está sujeito e das cláusulas contratuais que tratam de requisições governamentais e cooperação internacional. Lembra disso? Um caso real de conflito entre jurisdições na nuvem.Em 2013, o governo dos Estados Unidos solicitou à Microsoft acesso a e-mails de um usuário investigado em um caso criminal. Os dados, no entanto, estavam armazenados em um datacenter da empresa localizado na Irlanda. A Microsoft recusou-se a entregar as informações, alegando que autoridades norte-americanas deveriam seguir os mecanismos legais internacionais e solicitar os dados por meio das autoridades irlandesas.O caso chegou à Suprema Corte dos Estados Unidos e se tornou um dos episódios mais emblemáticos sobre soberania de dados e jurisdição na computação em nuvem. Foi esse impasse que levou à criação do Cloud Act, que passou a permitir que autoridades norte-americanas requisitem dados armazenados no exterior por empresas sob sua jurisdição. Como o tema afeta diretamente decisões de arquitetura em nuvem? Na prática, o risco de conflitos legislativos levou muitas organizações a revisar suas estratégias de adoção de nuvem, buscando alternativas como: Esse tipo de decisão deixa claro que arquitetura de TI, governança de dados e análise jurídica agora caminham juntas, especialmente em ambientes regulados ou com atuação internacional. Assim, arquitetos de solução agora precisam projetar pensando em: O papel do DPO e da governança de dados nesse cenário O avanço de requisitos de soberania de dados e o aumento de conflitos entre legislações internacionais ampliaram a responsabilidade das áreas de governança, segurança da informação e proteção de dados dentro das organizações. Nesse contexto, o Data Protection Officer (DPO) passa a desempenhar um papel central na avaliação de riscos relacionados com o uso de serviços em nuvem. Se antes a atuação do DPO estava concentrada em processos internos de tratamento de dados e na resposta a incidentes de segurança, hoje ele também precisa acompanhar decisões de arquitetura, contratos com provedores e fluxos internacionais de dados. Isso ocorre porque a localização, a replicação e o acesso às informações podem gerar impactos diretos na conformidade regulatória. A governança de dados, por sua vez, torna-se o mecanismo que conecta estas diferentes áreas, jurídico, TI, segurança e negócios, permitindo que decisões técnicas sejam avaliadas sob a ótica de risco, privacidade e legislação aplicável. Responsabilidades práticas do DPO em ambientes de nuvem No contexto de cloud sovereignty, o DPO passa a atuar de forma mais próxima das áreas técnicas e estratégicas, assumindo atividades como: Essa atuação integrada ajuda a garantir que decisões de infraestrutura não sejam tomadas apenas com base em critérios técnicos ou financeiros, mas também considerando os impactos legais e reputacionais envolvidos. Conformidade em nuvem exige capacitação técnica e jurídica À medida que a soberania de dados se torna um requisito regulatório e contratual, cresce também a necessidade de profissionais capazes de interpretar normas, avaliar riscos e implementar controles adequados em ambientes distribuídos. Por esse mesmo motivo, organizações que utilizam serviços em nuvem precisam revisar suas arquiteturas, contratos e processos internos para garantir que a localização, o acesso e o tratamento de dados estejam alinhados às exigências legais aplicáveis. Essa preparação envolve tanto decisões técnicas quanto ajustes de governança e de relacionamento com fornecedores, já que grande parte dos riscos de soberania está associada a dependências externas e à falta de visibilidade sobre o ciclo de vida dos dados, bem como programas de capacitação específicas sobre a temática.  Conclusão Ao longo deste conteúdo, ficou evidente que a soberania de dados não se resume à escolha de um data center localizado em determinado país. Ela envolve a compreensão de onde os dados estão, quem pode acessá-los, quais leis se aplicam ao seu tratamento e quais mecanismos existem para garantir sua proteção ao longo de todo o ciclo de vida. Nesse cenário, temas como transferência internacional de dados, cláusulas contratuais, controles de acesso e certificações de segurança passam a fazer parte de uma estratégia integrada de gestão de riscos e conformidade. Organizações que tratam a soberania de dados como parte de sua governança digital tendem a responder com mais rapidez a exigências regulatórias, a reduzir sua exposição jurídica e a demonstrar maior transparência para clientes, parceiros e órgãos fiscalizadores. Essa postura contribui para evitar sanções e para fortalecer a reputação e a confiança no tratamento de informações sensíveis. À medida que ambientes distribuídos e modelos multicloud se tornam cada vez mais comuns, a capacidade de manter controle sobre dados e processos passa a ser um dos principais indicadores de maturidade em segurança da informação e proteção de dados. Se sua organização utiliza serviços em nuvem ou planeja expandir sua infraestrutura para ambientes distribuídos, compreender e aplicar os princípios de soberania de dados é um passo essencial para garantir conformidade, reduzir riscos legais e sustentar relações de confiança em um cenário digital cada vez mais regulado. A soberania de nuvem não é um obstáculo à inovação, mas o novo alicerce da confiança digital. Organizações que ignoram a origem e o destino de seus dados correm o risco de enfrentar sanções pesadas, perda de propriedade intelectual e danos irreparáveis à reputação em um mundo cada vez mais fragmentado digitalmente. Não corra riscos com a jurisdição dos seus dados. Prepare-se para lidar com os desafios legais e técnicos da proteção de dados em ambientes de nuvem do jeito certo. [Quero me inscrever no preparatório para certificação Privacy & Data Protection Foundation da ESR, em parceria oficial com a EXIN] 10 perguntas frequentes sobre cloud sovereignty e soberania de dados na nuvem 1. O que é cloud sovereignty de forma simples? Cloud sovereignty, ou soberania de dados na nuvem, é a capacidade de uma organização manter controle sobre onde seus dados estão armazenados, quem pode acessá-los e quais leis se aplicam a essas informações, mesmo quando elas estão hospedadas em infraestruturas de nuvem de terceiros. Esse conceito vai além da segurança técnica, envolvendo também aspectos jurídicos, contratuais e operacionais relacionados com o tratamento de dados em ambientes distribuídos. 2. Qual a diferença entre soberania de dados e data residency? Data residency refere-se apenas ao local físico onde os dados são armazenados. Já a soberania de dados em nuvem envolve a legislação que se aplica a essas informações e quem tem autoridade legal para acessá-las. Em outras palavras: Essa distinção é importante porque dados armazenados em um país podem ainda estar sujeitos às leis de outro, dependendo da jurisdição do provedor de nuvem. 3. A LGPD proíbe armazenar dados em nuvem fora do Brasil? Não. A LGPD permite a transferência internacional de dados, desde que sejam adotadas salvaguardas adequadas para garantir a proteção das informações pessoais.  Entre essas salvaguardas estão cláusulas contratuais específicas, certificações e a comprovação de que o país de destino oferece nível adequado de proteção. Isso significa que empresas podem utilizar provedores globais de nuvem, desde que consigam demonstrar conformidade com os requisitos legais previstos na legislação brasileira. 4. O que é o Cloud Act e como ele afeta as empresas brasileiras? O Cloud Act é uma legislação dos Estados Unidos que permite que autoridades norte-americanas solicitem acesso a dados armazenados por empresas sob sua jurisdição, mesmo quando esses dados estão hospedados em outros países. Para as empresas brasileiras, isso significa que utilizar provedores com sede nos EUA pode criar situações de conflito entre a legislação brasileira e ordens judiciais estrangeiras, exigindo análise jurídica e contratual mais cuidadosa. 5. Nuvem soberana e nuvem pública são a mesma coisa? Não. A nuvem pública tradicional é projetada para operar de forma global, distribuindo dados e workloads entre regiões com base em critérios técnicos.  Já a nuvem soberana é estruturada para atender a requisitos específicos de residência de dados, jurisdição e controle operacional, podendo incluir isolamento jurídico, criptografia sob controle do cliente e restrições de acesso por localização geográfica. 6. Quem é responsável pela proteção dos dados na nuvem: a empresa ou o provedor? A proteção de dados em nuvem segue o modelo de responsabilidade compartilhada. O provedor é responsável pela segurança da infraestrutura física e dos serviços básicos, enquanto a organização cliente continua responsável pela configuração, pelo controle de acesso e pelo uso adequado dos dados. Esse modelo exige que empresas mantenham políticas de segurança e governança mesmo quando utilizam serviços gerenciados. 7. Como saber se minha empresa precisa se preocupar com a soberania de dados? Qualquer organização que: precisa avaliar requisitos de soberania. Isso inclui empresas privadas, instituições financeiras, órgãos públicos e fornecedores que tratam dados em nome de terceiros. 8. Quais são os principais riscos de ignorar a soberania de dados? Ignorar requisitos de soberania pode levar a: Além de impactos legais, esses riscos podem afetar a continuidade do negócio e a reputação da organização. 9. Nuvem híbrida ajuda a atender a requisitos de soberania de dados? Sim. A nuvem híbrida permite que dados mais sensíveis permaneçam em ambientes locais ou em regiões específicas, enquanto aplicações menos críticas utilizam a nuvem pública.  Essa abordagem ajuda a equilibrar requisitos de conformidade com benefícios como escalabilidade e redução de custos operacionais. 10. Como saber se meu provedor é soberano? Verifique os termos de serviço, se eles oferecem suporte para regiões locais com isolamento jurídico; as certificações de segurança da informação, como a ISO/IEC 27001, 27018 e 27701, não garantem soberania por si só, mas demonstram que a organização e o provedor adotam controles estruturados de segurança, gestão de riscos e auditoria.  Esses controles são frequentemente exigidos como parte das salvaguardas para transferência internacional de dados e podem facilitar a demonstração de conformidade perante reguladores e parceiros. [Quero me inscrever no preparatório para certificação Privacy & Data Protection Foundation da ESR, em parceria oficial com a EXIN]

O crescimento na carreira em TI no contexto moderno exige uma nova postura. Isso porque, ainda que a área de tecnologia siga entre as mais promissoras do mercado, também se tornou uma das mais seletivas. Em um cenário marcado por times distribuídos, projetos globais, metodologias ágeis e pressão constante por resultados, cresce um fenômeno que nem sempre é percebido de imediato – aquele no qual profissionais altamente qualificados em técnica encontram dificuldades para avançar na carreira, assumir posições estratégicas ou se manter competitivos ao longo do tempo. Esse bloqueio não está associado à falta de atualização de conhecimento técnico. Geralmente, ele surge da dificuldade de aplicar esse arcabouço teórico em contextos organizacionais complexos, comunicar decisões, colaborar com diferentes áreas e sustentar entregas em ambientes de mudança contínua. Por isso, as empresas modernas não buscam apenas quem “sabe executar”, priorizando quem consegue interpretar cenários, tomar decisões e evoluir junto com o negócio. Panorama do mercado: o que as empresas esperam além da técnica? O cenário pós-2024 foi marcado por instabilidade econômica, reestruturações organizacionais e aumento da automação. Mesmo em mercados maduros, como o dos Estados Unidos, a  taxa de desemprego apresentou crescimento em 2025, reforçando um ambiente de maior competitividade por vagas qualificadas.  Nesse contexto, empregadores passaram a buscar profissionais capazes de entregar resultados em ambientes voláteis, colaborar em estruturas híbridas e aprender rapidamente novas tecnologias.  Pesquisas do LinkedIn indicam que 70% das habilidades usadas hoje na maioria dos empregos mudarão nos próximos cinco anos, com a inteligência artificial atuando como o principal catalisador dessa transformação. Ao mesmo tempo, há um crescimento expressivo nos investimentos corporativos em habilidades como resolução de problemas, comunicação e trabalho em equipe, justamente para complementar os avanços em IA generativa. Em TI, isso se traduz em uma mudança clara de perfil, na qual profissionais altamente técnicos, mas com baixa capacidade de comunicação, adaptação ou visão sistêmica, encontram cada vez mais limites para crescer. Já aqueles que combinam conhecimento técnico sólido com competências humanas conseguem transitar melhor entre áreas, assumir posições estratégicas e liderar iniciativas de maior impacto. Relacionado: Habilidades em alta no mercado de trabalho de Tecnologia da Informação Em que aspecto muitos profissionais de TI acabam travando? Em um mercado cada vez mais competitivo, é comum que profissionais de TI concentrem seus esforços quase exclusivamente em certificações técnicas, novas linguagens e ferramentas emergentes. Embora esse investimento seja necessário, sozinho ele tem se mostrado insuficiente para garantir crescimento consistente, mobilidade profissional ou acesso a posições de maior relevância. A trava no crescimento de carreira em TI costuma surgir quando o profissional enfrenta dificuldades para dialogar com áreas de negócio, priorizar demandas em ambientes complexos, lidar com conflitos em equipes multidisciplinares ou adaptar-se a mudanças rápidas de contexto. Não se trata de deficiência técnica, mas de lacunas comportamentais que reduzem a capacidade de gerar impacto organizacional. Segundo o Future of Jobs Report 2025, publicado pelo Fórum Econômico Mundial, as mudanças no mercado de trabalho equivalerão a 22% dos empregos até 2030, com 170 milhões de novas funções a serem criadas e 92 milhões destituídas, resultando em um aumento líquido de 78 milhões de empregos, e grande parte dessa transformação estará relacionada com a integração entre habilidades técnicas e humanas. Isso reforça que a estagnação na carreira raramente decorre da ausência de hard skills, mas da dificuldade de acompanhar a evolução do próprio papel profissional. O desalinhamento entre excelência técnica e expectativas do mercado Empresas de tecnologia, especialmente aquelas que operam em ambientes regulados, projetos complexos ou estruturas corporativas maduras, buscam profissionais capazes de ir além da execução técnica. A expectativa recai sobre quem interpreta cenários, toma decisões orientadas por dados, sustenta colaboração entre áreas e mantém a consistência mesmo diante da incerteza. Habilidades como pensamento analítico, comunicação, adaptabilidade e aprendizagem contínua destacam-se entre as mais demandadas globalmente. Ainda assim, muitos profissionais tratam essas competências como secundárias, quando, na prática, elas são determinantes para promoções, liderança de projetos estratégicos e visibilidade organizacional. Esse desalinhamento explica um paradoxo recorrente – profissionais tecnicamente excelentes, mas pouco lembrados para posições de liderança ou iniciativas estratégicas. O problema não está na entrega, mas na forma como essa entrega é percebida, informada e ampliada dentro da organização. Por que o mercado passou a valorizar tanto as habilidades comportamentais? O avanço da automação, da inteligência artificial e dos modelos híbridos de trabalho alterou profundamente a dinâmica das equipes de TI. Atividades operacionais tendem a ser automatizadas, enquanto tarefas que exigem julgamento, negociação, empatia e visão sistêmica permanecem essencialmente humanas. O Future of Jobs 2025 destaca competências comoresiliência, flexibilidade, pensamento crítico e curiosidade intelectual entre as que mais vão crescer em relevância nos próximos anos. Essas habilidades permitem lidar com ambiguidades, tomar decisões com informações incompletas e sustentar ciclos contínuos de aprendizado. Além disso, há um crescimento expressivo nosinvestimentos corporativos em soft skills, especialmente em resolução de problemas, colaboração e comunicação. Ou seja, o mercado sinaliza, de forma consistente, que transformar conhecimento técnico em valor organizacional passou a ser um diferencial central. O impacto direto das soft skills na carreira em TI O desenvolvimento de habilidades comportamentais influencia diretamente três dimensões críticas da carreira em TI: 1) Empregabilidade Profissionais com boa comunicação, pensamento estruturado e adaptabilidade se destacam em processos seletivos mais rigorosos. 2) Progressão  Essas competências tornam-se decisivas para quem vai assumir liderança técnica, coordenação de projetos e funções estratégicas. 3) Longevidade profissional  Funcionam como proteção diante da rápida obsolescência tecnológica, facilitando transições ao longo da carreira. Profissionais que combinam hard e soft skills apresentam maior mobilidade interna, menor risco de obsolescência e maior participação em iniciativas estratégicas dentro das organizações. O que este blog não cobre (e por que isso importa)? Este artigo se dedica a contextualizar por que alguns profissionais de TI enfrentam barreiras invisíveis em sua evolução profissional. No entanto, a análise aprofundada e sistematizada de quais são exatamente as habilidades comportamentais mais valorizadas para os próximos cinco anos, além de dicas para desenvolvê-las de maneira prática e alinhada ao mercado, você encontra no novo e-book exclusivo da Escola Superior de Redes (ESR): Habilidades comportamentais mais valorizadas em profissionais de TI O guia definitivo para quem quer se manter relevante nos próximos 5 anos! O material rico é gratuito, voltado para profissionais e estudantes de tecnologia que desejam se preparar estrategicamente para os próximos anos e destrincha:  Trata-se de um guia direto, técnico e alinhado à realidade de quem atua em ambientes tecnológicos complexos.  Se você atua em tecnologia, domina a parte técnica e quer ampliar seu impacto profissional, esse material foi desenvolvido para você. 👉Acesse também as Trilhas de Conhecimento em TI exclusivas da ESR! Ao longo de 2026, as oportunidades não estarão apenas com quem domina mais tecnologia, mas com quem sabe aprender, se adaptar, colaborar e decidir melhor. Este é o primeiro passo para construir essa trajetória com mais consciência e estratégia. FAQ – Perguntas frequentes sobre crescimento na carreira em TI e soft skills Por que apenas hard skills não garantem crescimento em TI? Porque o mercado passou a valorizar profissionais capazes de aplicar conhecimento técnico em contextos complexos, comunicar decisões e gerar impacto organizacional. Soft skills realmente influenciam a conquista de promoções? Sim. Habilidades como comunicação, pensamento crítico e adaptabilidade são frequentemente decisivas para obter cargos de liderança e posições estratégicas. Quais soft skills são mais valorizadas em tecnologia? Pensamento analítico, comunicação, inteligência emocional, colaboração, adaptabilidade e aprendizagem contínua estão entre as mais citadas em relatórios globais. Como desenvolver habilidades comportamentais sendo profissional técnico? Por meio de capacitação estruturada, prática deliberada, feedback contínuo e exposição a contextos multidisciplinares – temas aprofundados no e-book da ESR.

A IA no governo brasileiro já integra ações estruturadas de transformação digital, com foco na melhoria da eficiência administrativa e na qualificação dos serviços públicos. O Plano Brasileiro de Inteligência Artificial (PBIA 2024–2028), por exemplo, estabelece diretrizes para o uso estratégico dessa tecnologia, com previsão de investimentos relevantes e aplicação em áreas como automação de serviços públicos, análise de dados e apoio à tomada de decisões automatizadas no setor público. De acordo com o próprio governo federal, o avanço tecnológico demanda um serviço público mais ágil, eficiente e orientado por dados.  Iniciativas como o Núcleo de Inteligência Artificial reforçam esse movimento ao promover capacitação técnica e incentivar o uso responsável de soluções baseadas em IA na administração pública. Esse progresso amplia a operacionalidade do Estado, sobretudo na análise de grandes volumes de dados e na personalização de políticas públicas.  Ao mesmo tempo, introduz um novo nível de complexidade na gestão, especialmente no que diz respeito ao uso de dados governamentais, à confiabilidade dos modelos e à responsabilização por decisões mediadas por algoritmos. A incorporação de sistemas preditivos e modelos de aprendizado de máquina desloca o eixo da gestão pública da execução simples de políticas para a compreensão de como decisões são estruturadas, quais critérios orientam os algoritmos e de que forma essas decisões podem ser auditadas, explicadas e contestadas. Para os gestores públicos, então, a questão central envolve a implementação de IA no governo com capacidade de gerar eficiência operacional sem comprometer a transparência, a equidade e a responsabilidade institucional. Este conteúdo parte dessa premissa para analisar os impactos da IA no governo, os riscos associados às decisões automatizadas no setor público e os mecanismos de governança necessários para garantir a explicabilidade de algoritmos, a mitigação de vieses algorítmicos e a responsabilidade digital no setor público. Como a IA no governo remodela a tomada de decisão na administração pública? A incorporação de sistemas baseados em aprendizado de máquina altera a dinâmica tradicional de tomada de decisão no setor público.  Em vez de depender exclusivamente de análises manuais, os gestores passam a contar com modelos capazes de classificar, prever e priorizar informações em tempo reduzido. Esse apoio automatizado é particularmente relevante em áreas com alto volume de dados, como assistência social, saúde, fiscalização tributária e gestão de benefícios.  Nesse contexto, a IA permite identificar padrões de comportamento, inconsistências cadastrais e tendências de demanda que dificilmente seriam percebidos apenas pela análise humana. Com isso, a tomada de decisão ocorre em um ambiente híbrido, no qual relatórios estatísticos, recomendações algorítmicas e avaliação técnica humana coexistem.  Iniciativas práticas de IA no governo brasileiro 1. Projeto Inspire O Projeto Inspire (Inteligência Artificial no Serviço Público com Inovação, Responsabilidade e Ética) propõe o uso de IA para integrar bases como CadÚnico, saúde e educação, com o objetivo de viabilizar serviços públicos mais personalizados. Com investimento previsto de R$ 390 milhões, a iniciativa inclui o desenvolvimento de infraestrutura dedicada, o uso de modelos de IA para a interoperabilidade de dados e a criação de um ambiente centralizado de aplicações. Entre os principais desdobramentos, destacam-se: A proposta evidencia o uso de IA no governo como instrumento de aumento de eficiência, com forte dependência de integração e qualidade de dados. 2. Guia de IA generativa O Guia de Inteligência Artificial Generativa no Serviço Público, desenvolvido pela Secretaria de Governo Digital, em conjunto com o Serpro, tem como objetivo orientar o uso dessa tecnologia por servidores públicos. O material apresenta diretrizes práticas para: A iniciativa reforça a necessidade de padronização e qualificação no uso de IA no governo, especialmente em ferramentas com alto potencial de impacto. 3. Núcleo de Inteligência Artificial O Núcleo de Inteligência Artificial do Governo Federal atua como estrutura de articulação entre diferentes órgãos, incluindo MCTI, MGI, ENAP, Serpro e Dataprev. Sua atuação envolve desde a coordenação de iniciativas estratégicas em IA até o desenvolvimento de diretrizes para uso responsável da tecnologia, promoção da transformação digital no governo e capacitação técnica de servidores públicos. A centralidade da capacitação nesse modelo evidencia um ponto crítico: a sustentabilidade do uso de IA no governo depende da capacidade institucional de compreender, operar e supervisionar essa tecnologia. 4. PBIA O Plano Brasileiro de Inteligência Artificial consolida a IA como política pública estruturante, organizada em eixos que incluem infraestrutura, formação, aplicação em serviços públicos e governança. Entre os direcionamentos, destacam-se: A previsão de iniciativas como um centro voltado para a transparência algorítmica reforça a preocupação com a explicabilidade e o controle diante de decisões automatizadas no setor público. A análise conjunta dessas iniciativas revela um padrão consistente – a IA no governo já está integrada à agenda operacional do setor público, com impactos diretos na forma como os serviços são prestados e as decisões são tomadas. Esse cenário amplia a necessidade de se elaborarem estruturas de governança capazes de garantir o controle e a transparência do uso da IA, bem como a responsabilização por ela.  Ou seja, há a ampliação da capacidade operacional do Estado, ao mesmo tempo que aumenta a exigência de que os gestores compreendam não apenas os resultados apresentados pelos sistemas, mas também os critérios que orientaram sua geração. Ganhos operacionais e riscos estruturais no uso de IA pelo governo A aplicação de IA na administração pública também está associada a ganhos mensuráveis de eficiência.  Simultaneamente, os mesmos mecanismos que ampliam a escala e a velocidade das decisões podem potencializar erros, distorções e vieses presentes nos dados utilizados para treinar os modelos. Principais benefícios e riscos associados Benefícios mais recorrentes Riscos que exigem atenção institucional Redução de tempo na análise de processos administrativos Reprodução de vieses históricos presentes em bases de dados governamentais Identificação automatizada de inconsistências e fraudes Dificuldade de explicar decisões geradas por modelos complexos Priorização de atendimentos com base em critérios objetivos Dependência tecnológica de fornecedores externos Apoio à formulação de políticas públicas baseadas em dados Possibilidade de falhas sistêmicas com impacto em larga escala A coexistência desses fatores exige que a adoção da IA seja acompanhada por mecanismos formais de controle, documentação e validação contínua dos sistemas utilizados, tópico que abordamos abaixo. Explicabilidade, auditoria e responsabilidade em decisões automatizadas Em ambientes governamentais, as decisões administrativas precisam ser justificáveis e passíveis de revisão por órgãos de controle e pela própria sociedade.  A utilização de modelos algorítmicos sem mecanismos de explicação compromete essa exigência, pois dificulta a compreensão de como determinado resultado foi produzido. A explicabilidade de algoritmos envolve a capacidade de rastrear quais variáveis influenciaram uma decisão e de traduzir esse processo em linguagem compreensível para diferentes públicos, incluindo gestores, auditores e cidadãos. Essa transparência é essencial para garantir a legitimidade das decisões automatizadas e para viabilizar a correção de eventuais erros. Elementos que devem compor a rastreabilidade de decisões automatizadas Elemento Finalidade Registro das bases de dados utilizadas Permitir auditoria da origem das informações Documentação do modelo algorítmico Viabilizar análise técnica realizada por equipes internas e órgãos de controle Histórico de versões e atualizações Identificar alterações que possam ter afetado os resultados Registro de decisões humanas associadas Garantir a responsabilidade administrativa e jurídica A ausência desses registros dificulta a reconstrução do processo decisório e fragiliza a capacidade institucional de responder a questionamentos formais. Diretrizes regulatórias e instrumentos de avaliação ética no Brasil A expansão da IA no governo brasileiro ocorre em paralelo ao desenvolvimento de instrumentos de governança e avaliação de risco. O próprio PBIA prevê a necessidade de estruturas que orientem o uso responsável dessas tecnologias e incentivem a adoção de padrões de transparência e segurança. Entre esses instrumentos, destaca-se o Framework de Autoavaliação de Impacto Ético em Inteligência Artificial, que auxilia os órgãos públicos a identificar os riscos associados à implantação de sistemas automatizados, avaliar os impactos potenciais sobre direitos fundamentais e definir as medidas de mitigação antes da entrada em operação. A adoção desses mecanismos contribui para alinhar projetos de IA às exigências da Lei Geral de Proteção de Dados (LGPD), às normas de controle interno e às expectativas de transparência por parte da sociedade. O papel da governança e da capacitação técnica na sustentabilidade desses projetos A efetividade do uso de IA no governo, portanto, depende menos da tecnologia em si e mais da capacidade institucional para administrá-la de forma segura e transparente.  Projetos baseados em algoritmos exigem competências que vão além da operação de sistemas, incluindo a governança de dados, a avaliação de risco, a interpretação de modelos estatísticos e o conhecimento das implicações jurídicas das decisões automatizadas. Sem essa base técnica, os gestores enfrentam dificuldades para avaliar as propostas de fornecedores, definir os critérios de contratação, interpretar os resultados gerados por modelos e implementar o controle adequado do funcionamento dos sistemas. Competências que passam a ser críticas para as equipes públicas A ausência dessas competências amplia a dependência de terceiros e reduz a capacidade de supervisão efetiva por parte do Estado. Preparação institucional é o fator que define o sucesso da IA no setor público Instituições que estruturam governança, documentação e capacitação técnica conseguem utilizar a IA como instrumento de melhoria de políticas públicas. Já aquelas que implementam soluções sem preparo institucional tendem a enfrentar dificuldades de controle, auditoria e prestação de contas. Nesse cenário, programas de formação voltados para a governança de TI, segurança da informação e gestão de riscos tornam-se parte essencial da estratégia de transformação digital do setor público.  A Escola Superior de Redes oferece capacitação especializada para gestores e equipes técnicas que precisam compreender, implementar e supervisionar sistemas baseados em inteligência artificial dentro de padrões compatíveis com a administração pública brasileira. Conheça a Trilha de Conhecimentos da ESR para a Gestão Pública! FAQ – Dúvidas frequentes sobre IA no governo 1- A IA pode tomar decisões sozinha na administração pública? Não. Sistemas automatizados podem apoiar análises e classificações, mas a responsabilidade final permanece com a autoridade administrativa competente. 2 – O uso de IA é obrigatório nos órgãos públicos? Não há obrigatoriedade geral. A adoção do recurso ocorre de forma gradual, conforme as diretrizes estratégicas, a disponibilidade orçamentária e a maturidade tecnológica de cada instituição. 3 – Como a sociedade pode questionar decisões automatizadas? Por meio dos mesmos instrumentos já existentes, como pedidos de informação, recursos administrativos e atuação de órgãos de controle. Para isso, é necessário que as decisões automatizadas sejam registradas e documentadas de forma adequada. 4 – Quais são os maiores riscos jurídicos no uso de IA pelo governo? Entre os principais riscos estão violações à LGPD, decisões discriminatórias baseadas em vieses algorítmicos e ausência de motivação adequada em atos administrativos apoiados por sistemas automatizados.