Em meio à crescente tensão geopolítica, a um cenário tecnológico em rápida evolução e a uma onda de novas regulamentações, como a Lei de Resiliência Operacional Digital (DORA) da UE, dados a soberania tornou-se o segurança estratégia de escolha.
Tanto os governos como as empresas apostam que manter os dados dentro das fronteiras nacionais os torna mais seguros, mais conformes e mais fáceis de controlar.
A mudança para soberano nuvem é uma tentativa de resolver um problema do século XXI com uma mentalidade do século XX. A premissa da localização de dados pressupõe que a segurança vem das fronteiras e da geografia. Na realidade, o risco cibernético moderno tem muito menos a ver com a localização dos dados e muito mais com a confiabilidade do software que os processa.
Se a cadeia de fornecimento de software – a rede de código, ferramentas, dependências e processos utilizados para construir, empacotar e entregar software – não for verificada ou estiver propensa a vulnerabilidades, a mudança bem-intencionada para se concentrar na geografia dos dados é uma solução de camada superior que não aborda a questão central da segurança de dados.
Onde a localização de dados pode falhar
A decisão de transferir dados dentro da região aborda efectivamente uma preocupação real: o controlo político. Em teoria, permite que os governos locais tenham jurisdição sobre os dados, protegendo-os do acesso ou escrutínio estrangeiro.
No entanto, esta medida é principalmente administrativa e política e não aumenta a segurança técnica. Armazenar dados em servidores locais não protege aplicativos e códigos em execução nessa infraestrutura de nuvem.
Mais de 90% do código dos aplicativos que usamos hoje, desde nossas transações bancárias até a forma como assistimos ao conteúdo, é composto de código aberto software. Esse código-fonte aberto é composto por milhares de componentes que foram construídos por estranhos na internet em todos os cantos do globo.
Independentemente de onde seja implantado, o software de código aberto pode conter bugs ou vulnerabilidades, que podem ser inadvertidas ou intencionais.
Alguém implanta um servidor em Londres ou São Francisco, mas um desenvolvedor em Bengaluru escreveu a biblioteca crítica que ele usa, e ela contém potencialmente uma exploração de dia zero, que foi injetada por um agente de ameaça operando em Moscou.
A localização de dados não resolve esse problema. O vetor de ameaça não é afetado pela localização física do data center, mas pela segurança dos componentes da cadeia de fornecimento de software. Se o código for comprometido, a localização dos dados torna-se irrelevante, pois podem ser exfiltrados ou corrompidos, independentemente da sua jurisdição.
O paradoxo do código aberto
Há tensão no cerne do debate sobre a nuvem soberana. A nuvem soberana promove uma ideia de isolamento que sinaliza um retorno a uma mentalidade de código fechado. Ainda, negócios hoje contam com a agilidade, velocidade e colaboração de um modelo de desenvolvimento de código aberto para apoiar a inovação e permanecerem competitivos.
Não podemos encarar o ecossistema global de desenvolvimento de software com suspeita; em vez disso, deveríamos defender uma maior integração e, sobretudo, uma verificação.
Mas como equilibrar a velocidade e a facilidade do desenvolvimento de código aberto com a segurança e a conformidade que os reguladores e os clientes exigem agora?
Uma estratégia de segurança madura para 2026 aceitará a natureza global e aberta do desenvolvimento e concentrar-se-á, em vez disso, em ferramentas que verifiquem a integridade e a origem de cada linha de código, proporcionando proveniência e rastreabilidade para cada componente da pilha de software.
Mais visibilidade sobre onde o software foi escrito, por quem – seja um desenvolvedor humano ou IA – ou onde os dados eventualmente residem, ajudará as organizações e os governos a construir e inovar com mais confiança.
Verdadeira resiliência em 2026
As consequências de negligenciar a integridade do software são graves e mais visíveis do que nunca. Eventos recentes, como os ataques cibernéticos da M&S e da Jaguar Land Rover, ou a interrupção da AWS, demonstram que o seu ecossistema de software é tão forte quanto o seu elo mais fraco.
Essas falhas raramente têm origem no local onde os dados estão hospedados. Eles se originam de bibliotecas não corrigidas, sistemas de construção comprometidos e cadeias de suprimentos opacas que não são totalmente monitoradas.
Para construir uma verdadeira resiliência em 2026, a conversa tem de mudar. Não podemos tratar a segurança como uma fronteira a defender ou como uma caixa a delimitar os dados. Devemos tratar o código que usamos todos os dias como o ponto crítico infraestrutura isso é.
Isso significa garantir que nenhuma vulnerabilidade passe despercebida, que o código não tenha sido adulterado e que a origem possa ser rastreada. Significa também aceitar que o código em que os desenvolvedores confiam hoje é inerentemente global e projetar estratégias de segurança que reflitam essa realidade, em vez de combatê-la.
Esta é a única forma pragmática e escalável de fornecer a segurança e o controle necessários para sobreviver e prosperar no mundo da computação moderna.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes do setor de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não são necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir saiba mais aqui: https://www.techradar.com/news/submit-your-story-to-techradar-pro