O que significa “estar na nuvem” para as organizações

Nuvem da Índia, nuvem da China, do Reino Unido, dos Estados Unidos – não deve faltar muito para falarmos em tecnologia de nuvem específica de cada país. Ainda há grande foco para os provedores – Microsoft, IBM, Amazon, Google, Alibaba –, suas características gerais e próprias da indústria. A localização dos dados tem sido tratada tardiamente, mas é algo que as empresas têm considerado em sua estratégia de cloud computing à medida que investem e inovam com tecnologias emergentes como inteligência artificial, internet das coisas e blockchain.

Governos de diversas partes do mundo já têm trabalhado com normas para uso, coleta, armazenamento e encriptamento de dados – casos da GPDR e da LGPD, por exemplo –, as organizações precisam atentar estrategicamente para as muitas implicações como parte de suas políticas cibernéticas.

Fora da Europa, especialmente na Ásia (com exceção da China, que tem leis locais rígidas a respeito), a localização de dados tem sido tratada passivamente, em geral. A Índia tem sua lei de proteção de dados, o que deve incentivar outras economias emergentes a acelerarem a adoção de medidas similares, uma vez que os dados e o ciberespaço se tornam as próximas fronteiras da inovação, competitividade, comércio e política internacional entre as nações.

Governos eleitos democraticamente em todo o mundo abdicarão de sua responsabilidade se não dispuserem de controle sobre os dados originários de seus territórios para a solução de problemas ligados à segurança e assuntos de interesse nacional.

Um exemplo aconteceu na Índia, quando o governo daquele país divulgou um documento em que descrevia planos para obrigar cloud providers e multinacionais operando no país que armazenassem os dados provenientes de transações e interações de seus cidadãos em servidores locais. As organizações reagiram, criticando a política por ser uma barreira ao comércio global e à inovação.

No entanto, os notáveis vazamentos de informações, como os casos Wikileaks e Cambridge Analytica, e a disseminação de notícias falsas em redes sociais aumentaram a demanda por normas mais firmes de proteção às informações. A questão que fica é: onde deve ser traçada a divisa entre privacidade e localização para governos, organizações e pessoas físicas.

Em um esforço de projeção de possíveis efeitos da localização dos dados, listo cinco áreas em que as organizações globais devem prestar atenção ao criar sua estratégia para uso da nuvem:

1. Indústria e contexto global

As empresas devem avaliar provedores da nuvem com base em um conjunto de dimensões técnicas e de negócios na sua indústria e no contexto global. As organizações consideram cada vez mais estratégias globais e multi-cloud, em função de conflitos de interesses, questões de privacidade, custo e competências disponíveis em cada país. Por exemplo, a indústria de varejo e bens de consumo fica desconfortável com um provedor como a Amazon por razões de vantagem competitiva.

2. Governança global de TI

O modelo de operação de TI deve se tornar mais descentralizado e complexo ao redor do mundo. Isso vai exigir a estrutura organizacional correta, autonomia e coordenação mais estreita por meio de um conselho global de lideranças da área na empresa. Na PwC, por exemplo, esse conselho global se reúne pelo menos uma vez a cada trimestre de todo ano, com o objetivo de compartilhar aprendizados, práticas de gestão, e aproveitar recursos para enfrentar desafios digitais.

3. Interoperabilidade e reaproveitamento global

Os padrões de cloud computing não devem ser tratados como solução única e geral, mas como uma abordagem em fases, em que modelos, códigos e algoritmos globais, regionais ou locais podem ser usados de acordo com a regulamentação específica do país. Por exemplo, pode-se perguntar: o que é preciso para um aplicativo lançado nos EUA para ser replicado em um ambiente de nuvem europeu ou asiático com mudanças mínimas?

4. Padrões de privacidade e segurança

Manter-se atualizado nas regras de privacidade e segurança de um país e implantar controles na nuvem é uma tarefa onerosa. As empresas deveriam instituir uma linha global de privacidade com autonomia em cada país, de forma a implementar políticas locais e modelos na nuvem. O Facebook, como todos sabem, foi multado pela União Europeia por violações de privacidade, o que levou a empresa à adoção de medidas para construir uma norma organizacional e controles automáticos dedicados a preveni-las.

5. Controles de acesso aos dados

Aplicativos em nuvem globais precisam ter os controles apropriados de segurança e auditoria para garantir os padrões de acesso às informações, como armazenamento, computação e uso de um modelo global compartilhado para o local. Uma vez que os dados são um valioso ativo das organizações, há o risco de pararem em mãos erradas por roubo ou mau uso.

Essa era de regulamentações para localização de dados deve afetar também provedores de nuvem e pressionar suas margens à medida que aumentam seus investimentos para desenvolver infraestruturas novas dentro de cada país e entregar serviços e pessoal para atender às normas que surgem. Isso terá um efeito cascata em empresas globais em termos de controle de custos, qualidade do serviço e inovação, quando incrementarem as suas plataformas.

Como stakeholders igualmente impactados, “empresas globais”, “transformação digital” e “gestores de plataformas em nuvem” devem trabalhar junto com os governos locais e conselhos de tecnologia em suas regiões para esclarecer o seu funcionamento e necessidades que são afetados por legislações e políticas. No futuro, continuará a ser crucial que o usuário seja protegido, mas também se apoie uma trajetória de crescimento global, sem dificultar a expansão da economia digital.

O Fórum: Governança 4.0 é uma coprodução MIT Sloan Review Brasil e Bravo GRC.