A soberania digital implica que Estados e organizações possam gerenciar seus ativos tecnológicos de forma segura e independente. Para a NTT Data, esse conceito engloba não apenas a independência tecnológica, mas também aspectos regulatórios, operacionais e humanos.
A Europa enfrenta desafios devido à sua dependência de fornecedores estrangeiros e à falta de investimento em tecnologia básica, o que dificulta a conquista da soberania total no curto prazo. As empresas devem proteger seus dados e diversificar seus fornecedores para minimizar os riscos, enquanto os Estados devem regular e proteger os ativos digitais. A computação em nuvem é um fator crucial nessa discussão, exigindo práticas de criptografia e controle de chaves para garantir a autonomia.
Conversamos sobre tudo isso e muito mais durante a entrevista com Manuel Vidal Lozano, Cloud Security Leader de NTT DATA:
-Como você definiria o conceito de soberania digital no contexto atual?
Para uma multinacional tecnológica como a NTT DATA, com clientes dos setores público e privado, a soberania digital tem a ver com a capacidade de integrar e gerenciar, de forma segura e independentemente de países terceiros, os ativos tecnológicos e digitais utilizados em uma organização. Tudo isso deve ser conseguido minimizando os riscos associados a todos os tipos de agentes externos, que podem comprometer o funcionamento digital da organização.
A soberania digital tem uma componente a nível do Estado (ou região como a UE) em que opera e outra a nível organizacional; os Estados têm as suas responsabilidades próprias enquanto as organizações privadas têm responsabilidades diferentes.
Os Estados europeus deveriam ter encorajado o desenvolvimento de tecnologias básicas, mas agora pensó que é tarde demais. Hojee m dia, devem regular e proteger os ativos e dados digitais que estão sendo gerados e processados em seu território bem como as pessoas que os gerenciam. Todos concordamos que o esforço regulatório da UE, embora necessário, é tardio e insuficiente.
Uma organização privada deve fazer o mesmo que os Estados nas suas áreas operacionais e técnicas: proteger seus próprios dados e ativos digitais, bem como os dados de terceiros (clientes, fornecedores, parceiros, …) que eles gerenciam em seus processos de negócios. Você também deve selecionar cuidadosamente as pessoas que os gerenciam.
Além disso, um Estado (ou a UE, no nosso caso) deve promover a criação de alternativas tecnológicas para suas organizações e empresas; enquanto isso, as empresas devem evitar a dependência tecnológica focando em um conjunto muito pequeno de fornecedores que poderiam acabar tendo muito poder.
É apenas um problema técnico ou tem implicações mais amplas?
A soberania digital tem a problemática da independência tecnológica, mas também tem mais implicações. Embora muita atenção esteja sendo dada ao escopo geográfico, existem outras dimensões relevantes.
Há pelo menos quatro eixos, o regulatório (Estratégia Digital Europeia, Lei de Mercados Digitais, Lei de Serviços Digitais e Regulamento Geral de Proteção de Dados), que devem definir um contexto jurídico comum; a componente tecnológica, que promeve a independencia de tecnologias de países terceiros; os processos, com a definição de processos de gerenciamento que minimizem o risco de comprometimento de dados (parados ou em movimento); e a componente das pessoas, já que o fator humano permanece sendo extremamente relevante.
Nos EUA, há muito foco na soberania tecnológica e na Europa há mais foco nas regulamentações porque a “batalha pela independência tecnológica” foi considerada perdida. No caso da Comissão Europeia, o “Roteiro para a Década Digital” foi uma iniciativa na direção certa, mas que chegou tarde.
Alcançar a independência tecnológica europeia exigiria mais de 100 bilhões de euros de investimento e mais de 10 anos de trabalho, assumindo-se que o acesso a talentos, que não existem na Europa, é ainda possível. O envelope financeiro da Lei Europeia de Chips é totalmente insuficiente e a meta de produção para 2030 é inatingível. No entanto, o objetivo de digitalizar o setor público parece viável.
-Que antecedentes recentes marcaram a evolução da soberania digital?
Há muitos fatores que influenciam a maior relevância da soberania digital. Primeiro, a adoção massiva do digital por organizações públicas, empresas e indivíduos. Quase tudo é digital e as organizações não dão tanta importância aos ativos físicos.
Em segundo lugar, o aumento do valor obtido pela capacidade de se analisarem grandes volumes de dados aumentou o interesse por estes. Em terceiro lugar, as ameaças que chegam das crescentes tensões geoestratégicas. Quarto, a observação global de nossa forte dependência da tecnologia durante a pandemia foi um alerta para a sociedade. Em quinto lugar, o crescimento exponencial das violações de dados nas organizações. Finalmente, o surgimento da Inteligência Artificial e suas capacidades de processar grandes quantidades de informações.
-Podemos considerar que é uma ideia nova ou tem raízes mais profundas?
Não é novo; estamos falando aquí de uma evolução da conjunção de soberania tecnológica e soberania de dados em direção a um conceito mais amplo de “soberania digital”.
Os EUA têm se concentrado muito na independência tecnológica por décadas. Em nosso caso, há mais de trinta anos a Europa observa uma dependência tecnológica crescente e os Estados têm uma dependência crescente dos EUA e de alguns países asiáticos.
Com o surgimento da Internet, em 2000, e o uso massivo de redes de comunicação de dados entre continentes e regiões, a preocupação com a segurança (confidencialidade, integridade e disponibilidade) dos dados em trânsito cresceu rapidamente. A adoção da nuvem na última década, que inicialmente envolveu a terceirização do armazenamento e processamento de dados, destacou a necessidade de garantir a soberania dos mesmos. Não podemos esquecer que o código-fonte das aplicações está mais exposto do que nunca. Todo esse contexto está levando a Europa a considerar a plena soberania digital apenas quando ela não for mais possível.
-Porquê a soberania digital se tornou uma prioridade estratégica para as empresas?
Muitas grandes empresas estão agora mais conscientes de que seus programas e dados internos e de terceiros, bem como outros ativos digitais, são de interesse para outras organizações e até mesmo para outros Estados. Essas empresas estão sujeitas a regulamentações geográficas e setoriais e também assumem o compromisso com seus clientes e fornecedores de salvaguardar seus dados e todas as informações relacionadas à relação comercial entre as partes. Essas mesmas empresas perceberam que a dependência de poucos fornecedores de tecnologia concentra o risco em apenas cinco ou seis, que também não possuem concorrentes reais em alguns produtos ou serviços. Por último, as grandes organizações querem saber a origem das pessoas que gerenciam as plataformas tecnológicas nas quais seus dados estão sendo processados. Seus ativos digitais têm valor para organizações públicas e privadas em todos os países.
-Quais são os riscos se você não os gerenciar corretamente?
O maior risco é a própria sobrevivência da organização e sua capacidade de continuar fornecendo produtos ou serviços a seus clientes se seus ativos digitais estiverem comprometidos.
Existem outros riscos muito específicos, como outros países ou organizações acessando sua propriedade intelectual ou perder suas vantagens competitivas. Pode acontecer também que os fornecedores de tecnologia estabeleçam preços abusivos porque não há alternativas reais ou que eles não cumprem os marcos regulatórios aos quais estão sujeitos devido à sua localização geográfica ou ao seu setor. Outro risco é permitir que indivíduos não identificados, com interesses falsos, gerenciem suas plataformas de tecnologia.
-Quais são as principais ameaças que as organizações enfrentam se não cumprirem os padrões de soberania digital?
A principal ameaça é perder o controle das informações que você é forçado a manter. Essa perda de controle sobre o digital pode representar a perda de confiança de acionistas, clientes e fornecedores. Outra ameaça relevante é não conseguir inovar em seu próprio ritmo e confiar em terceiros para permitir o uso de novas tecnologias essenciais. Por outro lado, existem ameaças à segurança cibernética, que serão amplificadas na próxima década como resultado do surgimento da IA e da computação quântica.
-É apenas um problema de segurança ou há outros fatores em jogo?
Não se trata apenas de segurança, na verdade, esta é uma consequência das demais questões. A enorme dependência tecnológica dos fabricantes de microprocessadores, memórias, discos, etc., faz com que todas as empresas saibam que dependem da estabilidade geopolítica e econômica dos países em que operam.
Um terremoto em qualquer um desses países pode causar o colapso da cadeia de suprimentos por meses. Uma guerra pode interrompê-la por anos ou indefinidamente. O fator humano e a escassez de mão de obra qualificada podem se voltar contra alguns países nas próximas décadas.
-Implementar a soberania digital não é simples. Quais desafios as empresas enfrentam nesse processo e como elas podem superá-los?
A soberania digital total na Europa não é possível agora ou a médio prazo, para nenhum estado ou organização privada. Na Europa, portanto, o processo de implementação deve primeiro permitir identificar o grau de soberania viável e gerenciá-lo para que cresça ou permaneça em níveis aceitáveis.
Os principais desafios estão relacionados à origem externa da tecnologia (hardware e software), com a capacidade de manter a segurança de programas e dados (e metadados) ao longo de seu ciclo de vida e com o gerenciamento da fidelidade dos funcionários que têm acesso privilegiado às plataformas tecnológicas.
Para superá-los, eles devem definir uma estratégia e executá-la escrupulosamente. Além do CEO, há outros gerentes que devem estar envolvidos, como CFO, CIO, COO e CISO.
-Qual é o papel da computação em nuvem na soberania digital?
É justamente a adoção massiva da nuvem que despertou a sensibilidade de Estados, organizações e pessoas em relação à soberania digital, o que faz com que ela desempenhe um papel fundamental.
Desde que a AWS começou a fornecer serviços de IaaS e PaaS em 2009, as organizações começaram a terceirizar a localização de dados e programas para algo chamado nuvem. Mas foi há uma década, quando começou a adoção em massa da nuvem por organizações privadas, que os estados europeus perceberam que os dados de suas empresas eram processados e armazenados fora de suas fronteiras, em plataformas gerenciadas por pessoas de nacionalidades desconhecidas.
Uma iniciativa relevante na Europa, a Gaia-X (Home — Gaia-X: A Federated Secure Data Infrastructure), só será lançada em 2019. Com pelo menos cinco anos de atraso, uma necessidade europeia está começando a ser atendida e, na minha opinião, de forma incompleta.
-Isso representa uma vantagem ou um obstáculo para obter autonomia no gerenciamento de dados?
Obviamente, mover fontes, programas e dados de seus próprios data centers para a nuvem é um desafio. Portanto, grandes provedores de nuvem (IaaS, PaaS e SaaS), como a AWS, fornecem mecanismos adequados para alcançar uma autonomia razoável no gerenciamento seguro de conteúdo.
Nossa recomendação, há anos, é que todos os dados privados na nuvem e no local sejam criptografados com algoritmos seguros. Além disso, para dados confidenciais, as chaves criptográficas devem ser gerenciadas exclusivamente pela própria organização. Se um provedor de serviços em nuvem não fornecer esses mecanismos, isso nem deve ser considerado.
No caso de uma grande organização, qual deve ser a estratégia para abordar a soberania digital? Que aspectos principais você deve considerar?
Uma grande organização deve ser capaz de identificar os principais eixos de soberania digital para a sua atividade ou negócio:
– O das pessoas é o principal; uma grande empresa deve verificar permanentemente se as pessoas com acesso privilegiado a tecnologia, programas e dados (metadados) não têm interesses contrários aos da própria organização. Este processo de verificação é complexo porque essas permissões de gestão às vezes residem com pessoal externo (prestadores de serviços e seus subcontratados).
– A independência tecnológica está fora do alcance de todas as organizações, pois nenhuma é capaz de desenvolver (projetar e fabricar) internamente toda a tecnologia necessária. Neste eixo, deve-se trabalhar para não depender de nenhum fornecedor de tecnologia, tarefa que depende do CTO da empresa.
– A proteção de dados, por sua vez, é uma tarefa de toda a organização, com responsabilidade final do CEO.
A seleção de fornecedores é uma atividade crucial, possivelmente a mais importante de todas, sendo aconselhável escolher aqueles que, como a AWS, tenham mais experiência e capacidade para garantir a gestão da soberania digital.
-Há diferenças significativas na forma como uma empresa de pequeno ou médio porte deve abordar a soberania digital em comparação com uma empresa multinacional?
Normalmente, uma PME é forçada a buscar aconselhamento adicional de terceiros. Uma PME não tecnológica geralmente não contrata serviços sofisticados de IaaS/PaaS logo suas chances de cometer erros na contratação, implementação e gerenciamento são praticamente inexistentes.
A capacidade de uma PME selecionar e escolher tecnologias é muito menor do que a de uma grande empresa. Uma PME não tem um CIO, um CTO… para prospectar provedores de nuvem, tecnologias e parceiros em serviços profissionais. Uma PME deve procurar aconselhamento especializado para minimizar o risco pelo que investir em um parceiro que ajude a selecionar fornecedores adequados terá um retorno garantido.
-A soberania digital afeta igualmente organizações públicas e empresas privadas? Quais desafios específicos que cada setor enfrenta?
Em termos de soberania digital, os cidadãos europeus são mais exigentes com nossos órgãos públicos do que com as empresas às quais adquirimos produtos e serviços. Depende sempre do tipo de organização e do tipo de empresa, embora existam alguns paralelismos. No que à soberania dos dados respeita, o Ministério da Fazenda pode ter desafios semelhantes aos de uma grande entidade financeira ou o Ministério da Saúde semelhantes aos de uma grande seguradora de saúde.
No que se refere às pessoas, tradicionalmente o setor público tem tido uma rotação muito inferior à do setor privado, por isso o risco deve ser menor. Pelo contrário, os ministérios podem despertar o interesse de outros Estados, por isso a vigilância é crucial.
Do ponto de vista da NTT DATA, como vocês ajudam seus clientes a gerenciar e fortalecer sua soberania digital? Que práticas se destacam nesse processo?
A NTT DATA ajuda seus clientes desde as primeiras fases de seleção e adoção de novas tecnologias (nuvem, IoT, IA,…) até à sua operaçionalização.
O conhecimento de todo o ciclo de vida dos serviços TIC, definição de processos de negócio, análise, desenho, programação, implantação, gestão, operação… nos permite conhecer muito bem as organizações e os fluxos de dados e informação. Utilizamos esse conhecimento para aumentar a soberania digital de nossos clientes. Temos equipes capazes de desenhar plataformas cloud seguras, equipes capazes de garantir a soberania dos dados ou o nível de soberania digital do serviço cloud de um cliente. Para quem pretende apenas uma avaliação externa do seu nível de conquista da soberania digital, prestamos esse serviço de forma muito especializada.
Em termos de cloud, trabalhamos exclusivamente com fornecedores que nos permitem dar aos clientes a segurança que necessitam. Tanto é verdade que recebemos quatro certificações AWS diferentes:
Quais as principais recomendações da NTT DATA para que as organizações, independentemente do seu porte, possam garantir efetivamente a sua soberania digital?
O primeiro passo deve ser a definição de uma estratégia clara de soberania digital, na qual sejam identificados os pontos fortes e fracos, bem como os objetivos viáveis.
O segundo passo é selecionar uma equipe multidisciplinar, formada por gestores, executivos e colaboradores internos ou externos, que defina um programa viável no curto e médio prazo. Este programa deve incluir aconselhamento inicial para determinar o ponto de partida e os critérios de seleção de fornecedores.
O terceiro passo é implementar todas as medidas incluídas no programa, formando e sensibilizando os profissionais afetados.
Finalmente, esta avaliação inicial deve ser repetida para medir o grau de progresso alcançado e corrigir o plano original, se necessário. É importante que a estratégia seja revista de dois em dois anos. Pensamos que a rápida evolução das plataformas tecnológicas não nos permitirá atingir totalmente os objetivos, muito menos de forma definitiva
O seminário reuniu empreendedores, acadêmicos e formuladores de políticas do Brasil e do mundo para…
A criação de deepfakes, imagens sintéticas altamente realistas que podem enganar sistemas de reconhecimento facial,…
A empresa viu na implementação do Copilot uma oportunidade para transformar a produtividade, a inclusão…
Adriana substituirá Cristina Palmaka, que está deixando a SAP para atuar em Conselhos de Administração…
Encontro é voltado à inovação, regulação e soberania digital.
Localizada no centro de Miami, a Apple Miami Worldcenter permite adquirir o iPhone 16 aproveitando…