Impactos das Tensões Globais na Infraestrutura de TI das Empresas

Conflitos localizados, rotas comerciais instáveis e volatilidade de supply chain: riscos reais que já afetam empresas brasileiras — e como gerenciá-los.

1. Geopolítica como variável operacional

Gestores de TI costumam monitorar riscos de hardware, falhas de software, ataques cibernéticos e indisponibilidade de serviços. Há um risco que raramente entra nessa lista — e que nos últimos anos tem se mostrado cada vez mais presente: as tensões geopolíticas e seus efeitos práticos sobre as cadeias de suprimentos de tecnologia.

Não se trata de antecipar guerras mundiais nem de construir cenários apocalípticos. O ponto é mais simples e mais imediato: conflitos regionais, instabilidades comerciais e rotas marítimas sob pressão já produzem efeitos concretos sobre o fornecimento de componentes, a disponibilidade de serviços e o custo de infraestrutura — e esses efeitos tendem a se intensificar.

A crise de semicondutores de 2020–2022, por exemplo, foi amplificada por tensões comerciais entre as grandes potencias, por restrições de exportação e por gargalos logísticos causados pela pandemia. Empresas que dependiam de um único fornecedor ou de estoques just-in-time sentiram na pele. Quem tinha diversificação e algum nível de reserva estratégica atravessou o período com muito menos dificuldade.

Esse padrão — disrupção em cadeia de suprimentos global com impacto assimétrico dependendo do grau de preparação de cada empresa — é exatamente o tipo de risco que vale mapear e mitigar

2. O que a cadeia de suprimentos de TI tem a ver com geopolítica

A infraestrutura de TI das empresas brasileiras depende de uma cadeia de suprimentos global que, em vários pontos críticos, passa por regiões de instabilidade ou por países no centro das tensões comerciais atuais. Entender essa dependência é o primeiro passo para gerenciá-la.

2.1 Hardware: concentração geográfica e lead times longos

Equipamentos de rede, servidores e componentes eletrônicos são produzidos em cadeias altamente concentradas. Taiwan, Coreia do Sul e China respondem pela maior parte da produção global de semicondutores. Isso não significa que um conflito nessas regiões vai paralisar o mundo — mas significa que tensões comerciais, restrições de exportação ou mesmo instabilidades logísticas regionais podem traduzir-se em atrasos de meses no fornecimento de equipamentos, elevação de preços e dificuldade de reposição de peças.

Para a empresa brasileira, o impacto prático mais provável não é a impossibilidade de comprar — é o aumento de lead time e custo. Equipamentos que antes chegavam em 4 semanas podem demorar 16. Componentes específicos podem ficar temporariamente fora de estoque. Empresas que não têm reserva estratégica mínima ficam expostas a essa volatilidade.

2.2 Conectividade internacional: cabos submarinos e rotas de dados

A Internet global depende de uma rede de cabos submarinos — infraestrutura física que atravessa regiões com diferentes níveis de estabilidade geopolítica. Incidentes que afetam esses cabos, seja por acidentes, seja por danos em zonas de conflito, já causaram degradações perceptíveis de conectividade em múltiplas ocasiões.

Caso real: Mar Vermelho, fevereiro de 2024 – Cabos submarinos foram danificados numa região de conflito ativo, resultando em redução de capacidade de tráfego entre Europa, Ásia e África. Empresas com links redundantes por rotas distintas sentiram impacto marginal. Empresas com dependência de rota única enfrentaram aumento de latência e instabilidade em serviços de nuvem por períodos prolongados, até a normalização das rotas.

Para empresas brasileiras com operações que dependem de acesso a sistemas em nuvem, de integração com parceiros internacionais ou de tráfego de dados com baixa tolerância a latência, o risco de degradação de conectividade é concreto e mensurável — e mitigável com redundância de links e rotas.

2.3 Serviços em nuvem: concentração de provedor e região

As principais plataformas de nuvem operam com alta disponibilidade e redundância interna. Mas há um risco diferente que tensões geopolíticas colocam em pauta: a concentração em um único provedor, especialmente quando esse provedor tem toda a sua infraestrutura — inclusive de controle e gestão — ancorada em uma região ou jurisdição específica.

O risco prático mais plausível para empresas brasileiras não é o bloqueio de uma plataforma, mas sim a degradação de serviços em função de instabilidade nas rotas de conectividade que ligam os datacenters locais ao backbone de controle do provedor — ou o aumento de latência e custos derivado de redirecionamento de tráfego em cenários de perturbação de rotas.

Ter um plano de continuidade que contemple a indisponibilidade ou degradação severa do provedor principal — ainda que por horas ou dias — é uma boa prática de gestão de risco, independentemente da causa.

2.4 Software: dependências de licenciamento e atualização

Sistemas operacionais corporativos, bancos de dados e ferramentas de desenvolvimento são majoritariamente mantidos por empresas americanas. Para a realidade brasileira, o risco geopolítico nesse segmento é mais sutil: oscilações de câmbio e eventual encarecimento de licenças em função de restrições comerciais, dificuldade de acesso a suporte técnico em determinados momentos, ou descontinuação de versões que forçam ciclos de atualização não planejados.

Não se trata de um risco crítico de curto prazo — mas é um componente que merece atenção no planejamento de médio prazo, especialmente para empresas com dependência alta de software proprietário sem alternativas mapeadas.

3. Como avaliar a exposição da empresa

O objetivo do exercício de avaliação não é construir um cenário do pior caso possível — é entender onde estão as dependências críticas e qual é o nível de exposição real da empresa a variações nesses pontos.

Passo 1 — Mapear a cadeia de suprimentos de TI

Listar os componentes de TI essenciais para a operação: hardware crítico (com fabricante e país de origem), serviços de nuvem (provedor e localização dos datacenters), software proprietário (desenvolvedor, país de sede, modelo de licenciamento) e links de conectividade (operadoras e rotas utilizadas).

O foco deve ser nos componentes sem os quais processos de negócio críticos param — não um inventário completo de tudo que existe na infraestrutura.

Passo 2 — Identificar pontos de concentração e dependência

Com o mapeamento em mãos, a pergunta é: onde há concentração de dependência em um único fornecedor, região ou rota? Exemplos típicos: toda a infraestrutura de nuvem em um único provedor sem plano de failover; links de internet que passam todos pela mesma rota submarina; equipamentos críticos sem estoque de reposição e lead time de compra superior a 60 dias.

Concentração em si não é um problema — é um fato que precisa de tratamento consciente. O risco começa quando a concentração existe sem que a empresa saiba ou sem que haja plano para lidar com ela.

Passo 3 — Estimar o impacto de disrupções plausíveis

Para cada ponto de concentração identificado, estimar o impacto prático de uma disrupção de curto prazo (dias) e de médio prazo (semanas a meses). Os parâmetros-chave, usados em BCPs (Business Continuity Plans – Planos de Continuidade de Negócios), são:

• MTPD (Maximum Tolerable Period of Disruption): quanto tempo a operação suporta sem aquele componente?
• RTO (Recovery Time Objective): em quanto tempo seria possível restaurar ou substituir?
• RPO (Recovery Point Objective): qual o volume máximo aceitável de perda de dados?

Passo 4 — Construir a matriz de riscos

Cruzar a probabilidade de ocorrência de cada disrupção com a magnitude do impacto estimado. O resultado é uma lista priorizada que orienta as decisões de mitigação — focando esforço e investimento onde o risco é mais relevante para a operação específica da empresa.

A tabela a seguir sugere algumas disrupções mais prováveis no contexto atual que devem constar em um mapeamento de riscos — são aquelas que já ocorrem com alguma frequência ou que têm precedente recente — com medidas de mitigação proporcionais ao risco.

É importante calibrar o esforço de mitigação ao tamanho real do risco. Nem toda empresa precisa de estratégia multi-cloud ou de estoque estratégico robusto. O ponto de partida é o mapeamento — e as ações devem ser proporcionais ao que o mapeamento revelar.

Princípio orientador: A gestão de riscos geopolíticos de TI não exige paranoias nem investimentos desproporcionais. Exige o mesmo rigor analítico que se aplica a outros riscos operacionais: conhecer as dependências, estimar os impactos e ter planos proporcionais ao que foi mapeado. O risco não gerenciado não é menor — é apenas surpresa.

5. Incorporando ao Plano de Continuidade de Negócios

As ações de mitigação identificadas devem ser formalizadas no Plano de Continuidade de Negócios, com responsáveis e critérios de ativação definidos. Para o componente geopolítico, alguns elementos específicos merecem atenção:

• Monitoramento de contexto: definir quem acompanha sinais de alerta relevantes — tensões em regiões de fornecimento, anúncios de restrições comerciais, incidentes em rotas de cabos — e como isso se traduz em alertas internos.
• Critérios de ativação objetivos: evitar gatilhos vagos como ‘quando a situação ficar grave’. Preferir critérios mensuráveis: atraso de fornecimento acima de X semanas, degradação de conectividade acima de Y%, indisponibilidade do serviço Z por mais de N horas.
• Testes periódicos: incluir cenários de disrupção de supply chain nos exercícios regulares de continuidade, não apenas cenários de falha técnica convencional.
• Revisão semestral: o contexto geopolítico evolui rapidamente. Um BCP revisado anualmente pode estar desatualizado. Revisões semestrais com análise do contexto corrente são recomendáveis.

6. Conclusão

Tensões geopolíticas fazem parte do contexto de negócios atual — e seus efeitos sobre as cadeias de suprimentos de TI já são observáveis, mesmo que de forma ainda moderada. A questão não é se haverá disrupções, mas em que grau e com que preparação cada empresa vai enfrentá-las.

O exercício descrito neste artigo não requer grandes investimentos nem equipes especializadas. Requer atenção sistemática a dependências que costumam passar despercebidas — e planos proporcionais ao que for encontrado.

Empresas que conhecem suas dependências e têm planos testados para gerenciá-las estarão em melhor posição do que as que forem surpreendidas. Essa diferença de preparação, em um momento de disrupção, pode ser decisiva para a continuidade operacional.

Referências e Leituras Recomendadas

• Gartner — Supply Chain Technology Trends (2023–2025)
• ISO 22301 — Segurança e Resiliência: Sistemas de Gestão de Continuidade de Negócios
• NIST SP 800-34 — Contingency Planning Guide for Federal Information Systems
• NIST SP 800-161 – Cybersecurity Supply Chain Risk Management
• NIC.br / CETIC.br — Segurança Digital: Análise da Gestão de Riscos em Empresas Brasileiras

Carlos A. I. Bernardo é consultor em segurança da informação e ministra cursos in-company e em turmas abertas na Associação Brasileira de Normas Técnicas (ABNT) sobre a aplicação da norma NBR ISO 22301 em cenários de disrupções no ambiente de TI das empresas.

Também atua como instrutor em cursos online pela TIExames sobre os frameworks de segurança cibernética do NIST, incluindo o NIST SP 800-161.

No Instituto Mauá de Tecnologia, IMT, participa dos Programas de Atividades Especiais (PAEs) abordando com os alunos de graduação temas ligados à gestão de riscos cibernéticos – como o PAE do semestre atual, Riscos em Sistemas de IA: Identificação, Análise e Tratamento.

O processo de preparação deste artigo envolveu o uso de inteligência artificial, sua versão original foi elaborada pelo autor com revisão e refinamento através de interações com as ferramentas de IA generativa como o Claude, o Copilot e o Gemini