17/11/2025
Vivemos em um mundo extremamente volátil, onde as lutas pelo poder político estão cada vez mais se espalhando pelo ciberespaço. Os estados-nação e seus representantes agora usam rotineiramente os ataques cibernéticos como armas em conflitos geopolíticos.
Já vimos hackers patrocinados pelo Estado desligarem redes elétricas para mergulhar cidades na escuridão, paralisarem redes hospitalares com ransomware (causando até mesmo atrasos no atendimento com risco de morte ) e sequestrarem veículos de mídia para disseminar propaganda e desinformação. Uma análise recente da UE constatou que quase 66% dos ataques DDoS (negação de serviço) registrados em 2022-2023 foram motivados por razões políticas - geralmente retaliações ou sanções em disputas internacionais.
Em essência, o espaço cibernético se tornou um novo campo de batalha onde os interesses nacionais se chocam sem levar em conta as fronteiras. Essa convergência de geopolítica e segurança de TI levanta uma questão urgente para todas as organizações: Qual é a resiliência geopolítica de sua TI? Se surgir um conflito ou se as sanções atingirem um fornecedor, suas operações comerciais resistirão ao choque?
Por que a geopolítica agora é uma questão de TI
As tensões políticas não são apenas preocupações dos diplomatas; elas agora afetam diretamente as redes e os dados corporativos.
Um conceito fundamental é a soberania digital: controlar seus próprios dados e seu conjunto de tecnologias para que não fiquem vulneráveis a interferências estrangeiras. A soberania dos dados significa que os dados estão sujeitos às leis do país onde estão armazenados. Se os dados de seus clientes ou cargas de trabalho críticas residirem em servidores em outro país, eles estarão sob a jurisdição desse país e poderão ser expostos ou restringidos devido a ações geopolíticas.
Por exemplo, os formuladores de políticas europeus têm se incomodado com a forte dependência de provedores de tecnologia e nuvem baseados nos EUA, preocupados com a ameaça à independência digital da Europa. Da mesma forma, muitos países temem que a dependência de fornecedores estrangeiros de telecomunicações ou hardware (sejam eles americanos, chineses ou outros) possa se tornar um risco estratégico se as relações internacionais se deteriorarem. Essas preocupações estão gerando pedidos de mais controle local sobre dados e tecnologia - basicamente, não coloque todos os seus ovos de TI na cesta de outra pessoa. Até mesmo Jensen Huang, fundador da Nvidia, disse durante a Vivatech 2025: "Você não pode se dar ao luxo de terceirizar sua inteligência".
A geopolítica também expõe as vulnerabilidades da cadeia de suprimentos global em TI. As empresas modernas dependem de uma complexa rede de software, hardware e serviços em nuvem fornecidos em todo o mundo. Se um dos elos dessa cadeia for comprometido, seja por um ataque apoiado pelo Estado ou por uma proibição de exportação, isso pode levar a uma interrupção global em cascata.
Uma olhada no passado
O notório ataque cibernético NotPetya de 2017 é um exemplo disso: foi um ataque de malware militar russo direcionado à Ucrânia que foi além de seu alvo inicial e paralisou empresas em todo o mundo, desde hospitais nos EUA até uma gigante do transporte marítimo e uma empresa farmacêutica, causando mais de US$ 10 bilhões em danos globalmente. O que começou como uma guerra cibernética local rapidamente se tornou, nas palavras de um funcionário dos EUA, "o equivalente ao uso de uma bomba nuclear para obter uma pequena vitória tática", ilustrando como um ataque politicamente motivado pode, inadvertidamente, devastar empresas comuns em todos os continentes.
Mesmo em tempos de paz, as organizações estão percebendo a maré: quase 60% das empresas afirmam que sua estratégia de segurança cibernética agora é influenciada por tensões geopolíticas, e 16% até mudaram de fornecedores ou parceiros de tecnologia em resposta (por exemplo, evitando software de determinados países ou diversificando os provedores de nuvem). Os relatórios de ameaças também mostram que o volume geral de ataques cibernéticos está aumentando em meio à instabilidade global - em 2024, houve 3.541 incidentes graves em todo o mundo, um aumento de 27,4% em relação ao ano anterior.
A Itália, por exemplo, tornou-se um epicentro: sofreu 10% de todos os ataques cibernéticos globais em 2024 e foi atingida por cerca de 80 ataques com motivação geopolítica (29% dos incidentes desse tipo no mundo) somente naquele ano.
O resultado final
A geopolítica se tornou um problema de TI porque as nações adversárias podem e vão buscar meios digitais para exercer pressão. Seja por meio de espionagem, sabotagem ou campanhas de influência, as empresas podem ser pegas no fogo cruzado, especialmente se seus dados, fornecedores ou infraestrutura estiverem vinculados a uma região em tumulto.
Sabendo disso, as empresas devem avaliar sua exposição ao risco geopolítico: As leis de qual país regem seus dados? Quais fornecedores podem ser restringidos por sanções? Um conflito distante poderia derrubar seus sistemas críticos? Essas perguntas agora fazem parte da agenda de todos os CIOs e CISOs.
O que a regulamentação exige agora
Os governos de todo o mundo não estão parados. Estimulados por incidentes de alto perfil e ameaças crescentes, novas regulamentações estão entrando em vigor para reforçar a segurança cibernética e a resiliência, com sanções reais. Em particular, a União Europeia introduziu várias regras importantes com o objetivo de reforçar as defesas em meio a riscos geopolíticos. Os principais exemplos incluem:
Diretiva NIS2
Uma atualização da diretiva de segurança de redes e informações da UE, NIS2, expande drasticamente o escopo das obrigações de segurança cibernética. Ela agora abrange uma ampla gama de entidades "essenciais" e "importantes" em todos os setores (energia, saúde, transporte, bancos, tecnologia, setor público e outros). As empresas no escopo devem implementar medidas rigorosas de gerenciamento de risco e relatar incidentes cibernéticos significativos dentro de prazos apertados (até 24 horas para a notificação inicial em alguns casos).
A NIS2 também impõe responsabilidade no topo: a gerência corporativa pode ser responsabilizada por não cumprir as obrigações de segurança. Crucialmente, o não compliance acarretará multas pesadas de até 10 milhões de euros ou 2% do faturamento global (o que for maior) para entidades essenciais.
Em suma, o NIS2 força as organizações a elevar sua postura de segurança cibernética (de controles técnicos a supervisão em nível de diretoria) ou enfrentar consequências punitivas. Seu objetivo é criar uma linha de base de resiliência em toda a UE, reconhecendo que um elo fraco pode colocar em risco toda a rede.
DORA (Lei de Resiliência de Operações Digitais)
Em vigor a partir de janeiro de 2025 na UE, a DORA é um regulamento que se concentra na resiliência do setor financeiro. Bancos, seguradoras, empresas de investimento e até mesmo provedores críticos de TIC que os atendem estão todos cobertos. A DORA exige que essas entidades tenham planos robustos de continuidade e recuperação de desastres, realizem testes de estresse digital regulares e gerenciem de perto os riscos de fornecedores de tecnologia terceirizados.
A supervisão regulatória aumentará: Por exemplo, os provedores "essenciais" de nuvem ou software para bancos podem estar sujeitos à supervisão direta das autoridades europeias. As penalidades sob a DORA também são significativas, e os estados da UE devem impor penalidades "efetivas, proporcionais e dissuasivas" para as violações. Isso pode incluir multas administrativas, ordens de remediação e até mesmo sanções pessoais aos gerentes, semelhante ao NIS2.
Notadamente, os fornecedores críticos de TIC que entrarem em desacordo com os requisitos da DORA poderão enfrentar multas diárias de até 1% do faturamento médio diário mundial até que os problemas sejam resolvidos.
Lei de IA da UE
Embora não seja uma lei de segurança pura, a futura Lei de Inteligência Artificial tem um ângulo de soberania e segurança. Essa legislação histórica da UE (que deverá ser finalizada em 2024) regulamentará os sistemas de IA, especialmente os usos de "alto risco" (como IA em infraestrutura crítica, saúde ou aplicação da lei). As empresas que implantarem essa IA terão que realizar avaliações de risco, garantir a supervisão humana e ser capazes de explicar e controlar as decisões de sua IA.
Por que isso é importante para a geopolítica? Porque a Lei de IA também reflete a pressão da Europa pela soberania digital, reduzindo a dependência descontrolada de tecnologias de IA estrangeiras e evitando o uso indevido (inclusive por regimes autoritários ou para fins maliciosos). A lei prevê penalidades severas em caso de não compliance. Por exemplo, o uso de sistemas de IA proibidos ou a violação dos requisitos de dados podem resultar em multas de até 30 a 35 milhões de euros ou 6 a 7% do faturamento anual global, o que é ainda mais severo do que as multas da LGPD.
Esses altos riscos ressaltam a intenção de definir um padrão global para uma IA confiável. As empresas de todo o mundo que operam na Europa (ou atendem a clientes europeus) precisarão efetivamente atender a essas regras, que estão impulsionando o investimento em compliance e gerenciamento de riscos de IA.
Regulamentações fora da UE
Em todo o mundo, medidas semelhantes estão em andamento, desde os EUA fortalecendo as regras cibernéticas de infraestrutura crítica até países como a China aplicando leis rigorosas de localização de dados e revisão de segurança. O resultado para as empresas é um desafio cada vez maior de compliance: é preciso não apenas se defender contra ameaças, mas também navegar por um labirinto em evolução de normas de segurança cibernética. Não fazer isso pode resultar em violações devastadoras e penalidades regulatórias.
O trio NIS2, DORA e AI Act exemplifica a nova era da segurança orientada por compliance, em que os governos estão pressionando ativamente as organizações a melhorar a resiliência e punindo aquelas que não estão à altura. Para as empresas, isso significa investir em governança, processos de relatórios e controles agora, em vez de se esforçar após um incidente ou uma multa. (Por exemplo, de acordo com a NIS2, você precisará de fluxos de trabalho para relatar um incidente dentro de 24 horas (algo difícil de improvisar no local). Ficar à frente dessas regulamentações pode se tornar uma vantagem competitiva, demonstrando aos clientes e parceiros que você leva a segurança a sério em um mundo turbulento.
Estratégias de resiliência para empresas
Diante desse nexo de riscos cibernéticos e geopolíticos, o que as empresas podem fazer? O objetivo é desenvolver a resiliência. Isso vai além da segurança cibernética básica e inclui continuidade de negócios robusta e decisões de arquitetura flexíveis. Aqui estão as principais estratégias a serem consideradas:
- Adote a infraestrutura distribuída e de várias nuvens: Não aposte sua empresa em um único provedor de nuvem ou data center. Ao distribuir as cargas de trabalho em várias plataformas de nuvem ou hospedar em vários data centers (e, de preferência, em regiões diferentes), você reduz muito a chance de um incidente deixá-lo completamente off-line. Uma estratégia de várias nuvens bem implementada pode garantir que, mesmo que um provedor sofra uma interrupção ou seja atacado, seus serviços continuem funcionando em outro lugar.
- Diversificar fornecedores e cadeias de suprimentos: Assim como os investidores prudentes diversificam seus portfólios, as empresas resilientes diversificam seus fornecedores de tecnologia. Confiar demais em um único fornecedor de software, fabricante de hardware ou operadora de telecomunicações pode ser perigoso se esse fornecedor se envolver em um conflito geopolítico ou sofrer sanções. Ao usar uma combinação de fornecedores (e garantir que nenhum componente crítico seja fornecido exclusivamente de uma região de alto risco), você reduz a exposição.
- Invista no planejamento de continuidade: As defesas tecnológicas por si só não são suficientes; as organizações precisam de planos robustos de continuidade dos negócios (BC) e de recuperação de desastres que levem em conta cenários de guerra cibernética e interrupções geopolíticas. Um plano de BC deve responder à pergunta: "Se X cair, como continuaremos funcionando?" - seja X um data center, um serviço de nuvem ou uma rota de suprimentos. Certifique-se de que esses planos abranjam casos extremos, como interrupções prolongadas da Internet, sistemas de ransomware que paralisam ou funcionários importantes que não podem ser contatados.
Ao implementar essas estratégias, as empresas podem fechar significativamente a "lacuna de segurança" criada pela geopolítica. Não é possível impedir que um estado-nação lance um ataque cibernético, mas é possível fortalecer seu ambiente para que, mesmo que seja alvo de um ataque ou sofra danos colaterais, você se recupere rapidamente com o mínimo de danos. A resiliência é a nova vantagem competitiva em uma era em que tanto o caos quanto o compliance estão em alta.
Getronics como sua rede de segurança
Criar e manter todos os recursos acima pode ser assustador. É aí que entra um parceiro experiente como a Getronics. Com décadas de know-how em segurança cibernética e serviços de TI, a Getronics atua como uma rede de segurança para organizações que enfrentam desafios complexos de segurança.
Atualmente, contamos com uma equipe global de mais de 3.700 profissionais em 20 países, oferecendo suporte a clientes em mais de 180 países em todo o mundo. Nosso alcance e profundidade significam que entendemos as nuances locais, desde as regulamentações da UE até os agentes de ameaças regionais, e podemos oferecer cobertura 24 horas por dia, 7 dias por semana, em todo o mundo.
O que oferecemos
A Getronics oferece soluções de segurança e continuidade de ponta a ponta, personalizadas para ajudar sua empresa a enfrentar os riscos geopolíticos e atender às demandas regulatórias. Nossos serviços variam de avaliações de risco abrangentes e consultoria de compliance a monitoramento de ameaças 24 horas por dia, 7 dias por semana e resposta rápida a incidentes. Na prática, isso significa que podemos auditar seu cenário de TI em busca de vulnerabilidades ou problemas de soberania, aconselhar sobre o compliance com leis como NIS2 ou DORA e implementar as proteções necessárias.
Por meio de nossos serviços doCentro de Operações de Segurança (SOC), vigiamos constantemente o seu ambiente, detectando intrusões, caçando ameaças e respondendo imediatamente a incidentes para conter os danos. Também ajudamos a desenvolver e testar a continuidade dos negócios e os planos de recuperação de desastres, garantindo que sua organização esteja preparada para o inesperado. Todos esses serviços são fornecidos de acordo com as práticas recomendadas e estruturas do setor (como NIST e ISO27001) e podem ser adaptados ao seu setor e jurisdição específicos.
Em última análise, a parceria com a Getronics significa que você ganha uma extensão da sua equipe, que traz insights estratégicos, força técnica e vigilância 24 horas por dia para proteger os seus negócios. Nós nos orgulhamos de construir relacionamentos confiáveis e continuidade de longo prazo com os clientes. Em um ambiente em que as ameaças são globais e constantes, ter um parceiro que já "viu de tudo" pode ser a diferença entre negócios habituais e negócios em crise.
Aja agora para fortalecer sua resiliência geopolítica
Em um mundo em que as ameaças digitais ignoram as fronteiras nacionais, as empresas precisam reconhecer que a segurança não se limita à fronteira nacional - nem a sua TI. Sua rede, seus dados e seus processos provavelmente abrangem países e continentes, assim como os riscos. A interseção da defesa cibernética e da geopolítica é hoje uma das maiores lacunas de segurança, mas é uma lacuna que pode ser fechada com a abordagem e os parceiros certos. Ao manter-se informado, investir em resiliência e alinhar-se com especialistas voltados para o futuro, você transforma uma possível vulnerabilidade em um ponto forte.
A Getronics o convida a dar o próximo passo para reforçar sua postura de defesa e continuidade. Considere a possibilidade de agendar uma avaliação de segurança completa ou uma revisão da estratégia de continuidade dos negócios com nossos especialistas. Nós o ajudaremos a avaliar o grau de resiliência geopolítica de sua TI, identificaremos os pontos fracos e desenvolveremos um roteiro para reforçar suas defesas de ponta a ponta.
Entre em contato com a Getronics para agendar uma consulta e garantir que, quando se trata de segurança e soberania cibernéticas, sua empresa esteja sempre à frente. Sua continuidade, compliance e paz de espírito são nossa missão. Vamos alcançá-los juntos.
