Em um mercado cada dia mais conectado e globalizado, com novos conceitos e novas tecnologias surgindo a cada dia, muitas empresas acabam contratando, ou ao menos avaliando, a probabilidade de contratar serviços ligados à Tecnologia da Informação de provedores de serviços localizados no exterior, além das fronteiras territoriais de seus países de atuação.
Normalmente, estas empresas avaliam os aspectos e os riscos técnicos e financeiros, mas muitas simplesmente ignoram a existência do chamado “Risco Soberano”.
Mas o que é o “Risco Soberano“?
Risco soberano é um risco legal (jurídico), originado por decisões políticas de um estado soberano (uma nação independente), decisões políticas as quais podem ser tomadas em razão de dificuldades econômicas, disputas comerciais com outras nações, ameaças de agressões internas (ações de grupos separatistas ou extremistas políticos, por exemplo) ou externas (ataques terroristas ou de nações estrangeiras, por exemplo) etc., podendo ter desdobramentos financeiros, operacionais, de imagem, contábeis, entre outros.
Trata-se de um conjunto de riscos que tem origem na vontade soberana de cada governo nacional.
Por exemplo, digamos que você contratasse Serviços de Computacão em Nuvem (Cloud Computing Services) ou Serviços de Armazenamento em Nuvem (Cloud Storage Services) de um Provedor de Serviços de Data Center sediado nos EUA.
Em caso de um ataque terrorista ou sua iminência, o governo dos Estados Unidos poderia, por exemplo, bloquear todo o fluxo internacional de dados, não permitindo que ninguém em seu território acessasse, enviasse ou recebesse dados do exterior, bem como tornando todo e qualquer dado em seu território indisponível para quem estiver em territórios estrangeiros.
Importante citar que esta possibilidade inclusive chegou a ser discutida quando da formulação do “Patriot Act” (“Ato Patriótico”).
Neste caso, mesmo que sua empresa estivesse localizada no território brasileiro, com toda sua operação e clientes no Brasil, veria toda sua infraestrutura, física ou virtual, bem como sistemas e dados, tornarem-se indisponíveis por tempo indeterminado (à total mercê das vontades políticas e necessidades do governo dos EUA).
Quais as possibilidades de sua empresa sobreviver em um cenário como este?
Ainda que seus sistemas críticos, que suportam seu “core business”, estivessem em território nacional, em pleno funcionamento, quais seriam os impactos para sua empresa ao ficar, por exemplo, 5 dias sem seus sistemas de marketing, seus dados históricos ou seu file Server?
Ou mesmo que fossem 3 ou 4 dias sem e-mail? Quais os impactos operacionais, financeiros, comerciais etc.?
Agora, para piorar, imagine que justamente neste período (que poderia se prolongar indefinidamente, a depender somente do governo dos EUA), a justiça brasileira obrigasse sua empresa a apresentar informações as quais estivessem inacessíveis, fora do alcance da legislação brasileira, fora do alcance de sua própria empresa, mas, que legalmente, estavam sob guarda de sua empresa. As conseqüências poderiam ser desde multas (causando graves perdas financeiras), até a prisão de membros da gestão da empresa por não cumprimento de decisão judicial, podendo até mesmo a empresa ser obrigada a encerrar suas operações.
Certamente sua empresa possui inúmeros sistemas os quais apesar de o negócio suportar alguns minutos ou até mesmo algumas horas de parada, não suportarão dias e mais dias de parada.
Lembrando ainda que, apesar de ser um risco difícil de medir ser mensurado, o qual muitos podem considerar quase impossível de se concretizar, caso venha a se concretizar, a empresa ficará com estes sistemas indisponíveis e sem nenhuma previsão real de normalização, podendo ficar dias, semanas ou meses sem que seja possível recuperar o acesso.
Vale ainda lembrar que, apesar de ser algo aparentemente muito abstrato para alguns, quem acreditaria, até 11/09/2001, que alguém teria não apenas coragem, como condições de concretizar um ataque que destruísse as Torres Gêmeas? Talvez o leitor não se recorde, mas existiam empresas no World Trade Center com seu Data Center de Produção em uma torre e seu Data Center de Contingência na outra torre, empresas inclusive do setor financeiro, as quais simplesmente deixaram de existir, virando pó juntamente com as torres, pois não tiveram condições de recuperar seus dados, base de clientes etc. Do mesmo modo, muitos acreditam ser impossível que um país venha a se desconectar propositalmente da internet. Mas se vier a ocorrer um novo “11/09”, sua empresa sobreviveria a isto? Mesmo que a resposta seja sim, quais os impactos financeiros, operacionais, comerciais, de imagem etc.?
Em suma, é muito importante deixar claro que se chama “Risco Soberano” justamente pelo fato de cada país poder tomar estas decisões, a qualquer momento, obedecendo a legislação local, não cabendo a outros países, organizações ou entidades, recursos jurídicos ou de qualquer outra natureza contra a decisão tomada pelo governo soberano naquela localidade (onde se encontram os sistemas e seus dados).
Adicionalmente, a legislação pode ser mudada quase que imediatamente, em questão de poucas horas, em circunstâncias extremas e emergenciais onde exista consenso político, sobretudo em ameaças à segurança nacional, tais como o início ou eminência de uma guerra ou atentado de grandes proporções, deixando os agentes econômicos externos totalmente à mercê do destino e sobretudo da vontade soberana do país em questão e de seu povo.
Trata-se de uma ação extrema, a qual apesar de afetar dramaticamente a economia, visa a sobrevivência da nação e sua população diante de uma ameaça imediata de grandes proporções.
Gostaria de deixar claro que este risco não se resume aos EUA, o qual foi utilizado como exemplo, até mesmo em virtude dos acontecimentos do início deste século e seus desdobramentos.
O intuito é demonstrar como o risco soberano, um risco legal e diretamente ligado a condições políticas, pode afetar qualquer relação internacional, sendo possível, em maior ou menor probabilidade que a França, Reino Unido, Japão, Rússia, China ou qualquer outra nação, inclusive o Brasil, venha a tomar alguma atitude neste sentido em um momento futuro.
Outro exemplo é o caso da Coreia do Sul.
A Coreia do Sul, em Março de 2015, reportou ataques cibernéticos que envolveram inclusive a invasão de sistemas do operador nuclear local (companhia responsável pela operação de suas usinas nucleares). Tais ataques foram atribuídos à Coreia do Norte.
A Coreia do Sul inclusive é alvo constante de ataques cibernéticos oriundos da Coreia do Norte.
Agora, imagine se em uma situação extrema a Coreia do Norte obtivesse controle de reatores nucleares (com capacidade, por exemplo, de desativar seus sistemas de proteção contra superaquecimento ou sabotar seu funcionamento de alguma forma), sistemas de defesa anti-aérea ou qualquer outro sistema militar ou que pudesse apresentar algum grande risco à Coreia do Sul e sua população. Neste caso, é altamente provável que seu governo, voluntariamente e de forma emergencial, optasse por interromper o fluxo internacional de dados entre a Coreia do Sul e o resto do mundo, por ser a forma mais fácil e rápida de se cessar todos os ataques, ainda que seja uma solução economicamente drástica.
Outro exemplo de risco soberano foi a atitude do governo brasileiro em taxar em cerca de 50% a importação de serviços de Data Center. Ou seja, empresas que contratavam serviços de Data Center nos EUA ou Europa, por exemplo, da noite para o dia viram suas despesas aumentarem 50%.
Isto ocorreu no passado recente (10/2014) e pode voltar a ocorrer a qualquer momento, a depender do momento político e econômico.
Neste caso, mesmo que tecnicamente e operacionalmente tudo siga dentro da normalidade, a empresa que se utiliza de serviços contratados no exterior pode ser surpreendida por um inesperado e expressivo aumento de despesas, talvez até inviabilizando financeiramente a operação.
O governo brasileiro é soberano para regulamentar as transações de compra e venda de qualquer natureza, inclusive serviços, entre empresas nacionais e estrangeiras, podendo até mesmo, em situações extremas, do ponto de vista legal, chegar a proibir tais relações comerciais, seja por questões econômicas ou políticas (tensões políticas ou mesmo militares) com outras nações.
Um último exemplo de Risco Soberano, apenas para ilustrar e facilitar o entendimento, foi quando a Argentina, em meio ao auge recente de sua crise econômica, tomou medidas que na prática restringiam fortemente não apenas as importações de produtos e serviços, como também as remessas de dinheiro para o exterior, asfixiando a economia local em uma tentativa de conter as saídas de capitais de sua economia.
De uma hora para outra, inúmeros fornecedores de diversas nacionalidades tiveram prejuízos milionários, senão bilionários, e empresas argentinas que dependiam de fornecedores no exterior viram-se não apenas impedidas de realizar as aquisições e/ou contratações, bem como realizar os devidos pagamentos relativos às importações já realizadas.
Podemos então entender o Risco Soberano como um conjunto de riscos ao qual pessoas físicas ou jurídicas com relações comerciais internacionais (entre diferentes territórios soberanos) estão expostos. Riscos legais, em geral de origem política, mas com desdobramentos imprevisíveis. Riscos estes os quais apesar de baixos, são muitos difíceis de serem previstos e podem causar impactos gigantescos, podendo até mesmo forçar o fim das operações de uma empresa.
Com base nisto, é importante que cada profissional, principalmente cada gestor, questione e analise de que forma sua empresa está exposta a riscos soberanos, quais os possíveis impactos e quais as formas de contingenciar ou mesmo eliminar tais riscos. Disto pode depender a sobrevivência de sua corporação.
• Profissional com 16 anos de experiência em empresas multinacionais e nacionais de Tecnologia da Informação e Telecomunicações, com conhecimentos e experiência adquiridos nas áreas Comercial, Canais, Parcerias, Produtos e Técnica. • MBA em Gestão Estratégica de Negócios (ESALQ/USP), Master in Information Technology (FIAP) com módulo internacional pela Singularity University, Pós-graduação em Administração (UNIP) e graduação em Tecnologia em Marketing (UNIP). • Sólida experiência na gestão de equipes multidisciplinares. • Liderança técnica e comercial de projetos estratégicos em clientes privados e públicos, incluindo experiência e conhecimento da Lei Federal 8.666/93. • Experiência em Tecnologia da Informação (TI), incluindo Soluções em Big Data Analytics, Nuvem (Cloud), Continuidade de Negócios, Recuperação de Desastres, Virtualização (de Servidores, Desktops, Aplicações e Armazenamento), Bancos de Dados, Redes (SAN, LAN e WAN), Arquivamento, Data Center, Monitoramento e Mascaramento de Dados. • Experiência em Segurança da Informação (SI), incluindo Cyber Intelligence, Anti-DDoS, Segurança Perimetral e de Redes, End Point Security, MDM (Mobile Device Management), DLP (Data Loss Prevention), entre outros temas. • Experiência em Telecomunicações, incluindo Fixas e Móveis. • Experiência em Automação, com foco em M2M (Machine to Machine) e IoT (Internet of Things). • Domínio da Lei Geral de Proteção de Dados e das Resoluções 4658 e 3909 do Banco Central do Brasil. • Conhecimentos em Administração, Contabilidade, Gestão Tributária, Marketing e Direito (com foco em Direito Digital e legislação específica a respeito a respeito de Licitações e Contratos Públicos). LinkedIn: https://www.linkedin.com/in/DiegoSalimDeOliveira
You must be logged in to post a comment.
