Era suposto a nuvem simplificar tudo. E, para a maioria das cargas de trabalho, simplificou. Para aqueles que trabalham num ambiente Microsoft, o Microsoft 365 prometeu, e em grande parte cumpriu, um mundo onde o correio eletrónico, os calendários e a colaboração apenas funcionavam, e não havia necessidade de pensar nos servidores que os suportavam.
Mas o mundo está a mudar. As tensões comerciais e as disputas sobre a soberania dos dados são a prova disso. E as interrupções de serviço já não são casos isolados.
Em janeiro de 2026, O Microsoft 365 foi abaixo a nível mundial. O correio eletrónico parou. O Outlook não carregava. O acesso ao calendário desapareceu. O raio de ação não foi uma empresa. Foram todos os inquilinos da plataforma, de uma só vez.
Para cada organização apanhada sem uma solução de recurso, a continuidade do negócio foi ameaçada. E para as organizações que operam sob regulamentos como o DORA ou o NIS2, isso já não é apenas um problema operacional. É uma falha de conformidade regulamentar, que acarreta o risco de multas, relatórios obrigatórios e potencial intervenção de supervisão.
A chamada de atenção regulamentar: "O fornecedor estava em baixo" já não é uma resposta
Em várias jurisdições e sectores, os reguladores estão a elevar a fasquia do que significa realmente a continuidade do negócio:
- DORA (totalmente em vigor a partir de janeiro de 2025): As organizações do sector financeiro devem manter e testar regularmente planos de continuidade de TIC documentados, garantir que os sistemas permaneçam operacionais durante as interrupções e mitigar ativamente os riscos de fornecedores terceiros de serviços em nuvem. Ter um SLA em vigor não é considerado uma atenuação adequada.
As autoridades de supervisão têm o poder de impor planos de correção, realizar auditorias adicionais, restringir determinadas actividades comerciais ou aumentar a supervisão se as organizações forem consideradas não conformes.
- NIS2A proposta de diretiva do Parlamento Europeu e do Conselho que estabelece um quadro regulamentar comum para a proteção dos interesses financeiros das pessoas singulares e colectivas: estende obrigações quase idênticas à energia, saúde, transportes, administração pública e infra-estruturas digitais. Os sistemas de correio eletrónico estão explicitamente incluídos no âmbito de aplicação. As sanções atingem 2% do volume de negócios anual global. O ónus da prova recai sobre a organização e não sobre o regulador.
As entidades reguladoras podem impor medidas corretivas, exigir provas pormenorizadas de conformidade e, em casos graves, restringir ou proibir operações comerciais relacionadas com serviços essenciais ou importantes até que a conformidade seja restabelecida.
- O RGPD e a soberania dos dados: Os dados de correio eletrónico mantidos exclusivamente em fornecedores de serviços em nuvem sediados nos EUA estão sujeitos à divulgação obrigatória da Lei CLOUD dos EUA, independentemente da localização física dos servidores. Para as organizações europeias em sectores regulamentados como os cuidados de saúde, os serviços jurídicos e a investigação clínica, isto representa uma exposição real e contínua à conformidade.
As entidades reguladoras esperam que as organizações demonstrem controlo sobre a residência dos dados e a jurisdição legal, uma garantia que nenhum hyperscaler pode fazer em nome da sua organização.
Estes não são os únicos regulamentos que exigem a continuidade das actividades. Dependendo do seu sector e da sua localização geográfica, muitos outros enquadramentos implicam obrigações semelhantes:
|
Regulamento |
Âmbito de aplicação |
Requisito BCP |
|
HIPAA |
Cuidados de saúde nos EUA e associados comerciais |
O planeamento de contingência é um requisito explícito da Regra de Segurança; os servidores de correio eletrónico são mencionados no âmbito |
|
FISMA / NIST SP 800-53 |
Agências federais e contratantes dos EUA |
Família completa de controlo dos planos de emergência; abrange todos os sistemas de informação, incluindo as infra-estruturas de comunicação |
|
FDA 21 CFR Parte 11 / Anexo 11 da UE |
Indústria farmacêutica, biotecnológica e dispositivos médicos a nível mundial |
O Anexo 11 exige explicitamente disposições de continuidade documentadas para os sistemas de apoio aos processos regulamentados |
|
APRA CPS 230 |
Bancos e companhias de seguros australianos |
Aplicada a partir de julho de 2025, a DPC 230 exige um PCN credível e regularmente testado que abranja todas as operações críticas e alarga explicitamente as obrigações aos prestadores de serviços terceiros, incluindo os fornecedores de serviços em nuvem |
|
SOX |
Empresas americanas cotadas na bolsa |
Os controlos informáticos previstos na Secção 404 exigem implicitamente disposições em matéria de disponibilidade e recuperação dos sistemas de apoio à informação financeira, incluindo o correio eletrónico |
|
GLBA (Regra de salvaguardas da FTC) |
Instituições financeiras dos EUA |
A regra actualizada de 2023 exige explicitamente disposições sobre a continuidade das actividades como parte do programa de segurança da informação |
|
NYDFS 23 NYCRR Parte 500 |
Empresas de serviços financeiros licenciadas em Nova Iorque |
Exige protocolos de continuidade das actividades e de recuperação de desastres, incluindo testes anuais; as entidades abrangidas não podem delegar a responsabilidade pela conformidade em fornecedores terceiros |
A linha comum em todas essas estruturas é a mesma: a organização é responsável pela continuidade, não o fornecedor. "O nosso fornecedor de serviços na nuvem foi-se abaixo" não satisfaz nenhum auditor em nenhuma destas jurisdições.
A solução: Construir uma arquitetura resiliente ativa-em espera
A resposta não é abandonar o M365. É alargá-lo. Ao adotar uma arquitetura de espera ativa, pode obter resiliência e continuidade do negócio sem perturbar os seus utilizadores finais.
Nesta arquitetura, um ambiente lida com 100% de tráfego ativo no estado normal. Um segundo ambiente mantém a paridade contínua e assume o tráfego quando o principal falha. Naturalmente, o fluxo de failover tem de ser planeado e testado de antemão, para que seja auditável e acionável quando necessário.
Existem três aspectos fundamentais que funcionam como a base de uma arquitetura ativa/em espera, como se pode ver no diagrama abaixo:
1 - Um ferramenta de sincronização automáticacomo, por exemplo CB Exchange Server Sync, O sistema de gestão de correio eletrónico, que permite manter a paridade bidirecional do correio e do calendário entre plataformas, mantendo o controlo total da localização dos dados.
2 - A gateway de correio, como o Postfix, para fornecer uma memória intermédia controlada, de modo a poder reencaminhar o correio eletrónico para pontos terminais secundários durante uma interrupção.
3 - Perfis de clientes de correio eletrónico pré-criados, para mudar rapidamente os utilizadores para esses pontos finais secundários. Todos os utilizadores finais devem ter perfis pré-criados para ambos os sistemas, para evitar atrasos na configuração da "primeira execução". Recomendamos a utilização do Outlook clássico como cliente de correio eletrónico ou a formação de todos os utilizadores para utilizarem o OWA como alternativa de “configuração zero”.
Diagrama de arquitetura ativo-em espera
Para o ambiente alternativo que tem em stand-by, pode considerar as duas opções abaixo, dependendo das preferências de infraestrutura e dos requisitos de soberania da sua organização.
Opção 1: M365 + Exchange no local
Melhor para: organizações com requisitos de soberania de dados, sectores regulamentados, operações baseadas na UE ou infra-estruturas locais existentes.
Como funciona:
- O Exchange local é usado como ambiente alternativo de espera e é hospedado no próprio centro de dados da organização.
- O CB Exchange Server Sync mantém a sincronização bidirecional contínua de e-mails, contatos e calendários entre o Microsoft 365 e o Exchange local. Todos os dados se tornam idênticos em ambos os sistemas.
- No estado normal, o Microsoft 365 trata de todo o tráfego em direto.
- Em caso de falha, o correio é encaminhado automaticamente através do Exchange no local.
Qual o aspeto do fluxo de ativação pós-falha para o utilizador final:
- Outlook desktop, móvel e OWA ligam-se ao ambiente que estiver disponível.
- A interface é idêntica (não é necessário aprender um novo sistema, não é necessário seguir um procedimento de emergência).
- Qualquer correio criado durante a interrupção é sincronizado automaticamente com o Microsoft 365 aquando da recuperação.
Vantagens da soberania dos dados:
- Os dados de correio eletrónico em repouso residem no centro de dados da própria organização, sob a sua própria jurisdição, no hardware que controlam.
- Cadeia de custódia completa e possibilidade de auditoria
- Resposta direta e demonstrável às disposições DORA relativas ao risco de terceiros
O que os auditores vêem: Um ambiente de espera vivo, em funcionamento e testável. Não um documento de política. Não é uma referência de SLA. Prova de continuidade.
Opção 2: M365 + Google Workspace
Melhor para: organizações que preferem a redundância total da nuvem, as que já estão a avaliar a diversificação de fornecedores ou as que não têm uma infraestrutura no local (ou uma equipa que considere ter uma).
Como funciona:
- O Google Workspace é utilizado como ambiente alternativo de reserva. É uma infraestrutura de fornecedor separada, uma pegada de datacenter diferente e uma superfície de falha diferente.
- Um gateway de correio, como o Postfix, centraliza a entrada e gere o encaminhamento, controlando o fluxo de failover independentemente da propagação MX
- O CB Exchange Server Sync mantém a paridade bidirecional contínua do correio e do calendário com o Google Workspace silenciosamente em segundo plano. Terá os mesmos dados em ambos os sistemas.
- No estado normal, o Microsoft 365 lida com 100% de tráfego em tempo real.
- Em caso de falha, uma inversão de encaminhamento semi-automática no gateway redirecciona o tráfego para o Google Workspace.
- Isto evita o brain-split do MX (o conflito de encaminhamento dividido que ocorre quando as alterações do registo MX se propagam de forma inconsistente pelos resolvedores DNS durante uma transição em direto).
Qual o aspeto do fluxo de ativação pós-falha para o utilizador final:
- Os utilizadores familiarizados com o Outlook podem utilizá-lo através de conectores de correio durante o período de falha ou podem mudar para as interfaces Gmail Web ou Gmail Mobile.
Nota sobre a soberania dos dados:
Esta opção é conveniente porque evita a necessidade de possuir ou manter a infraestrutura, mas não oferece a mesma garantia de propriedade no local que a Opção 1. A soberania dos dados depende da configuração de implantação do Google Workspace e das definições de região. Para organizações com requisitos de jurisdição rigorosos, a Opção 1 é a melhor escolha.
O que ambas as opções têm em comum
Independentemente do padrão de implementação adequado à organização, a arquitetura subjacente oferece as mesmas garantias:
- Redundância que é invisível para os utilizadores finais e visível para os auditores
- Arquitetura ativo-em espera com sincronização contínua. Sem espera a frio, sem restauro de cópias de segurança, sem recuperação manual de dados
- A fluxo de transferência em caso de falha que é planeado e testado antes de ser necessário
O ganho: Do custo da conformidade à arquitetura competitiva
- A preparação para auditoria como estado por defeitoQuando um examinador do DORA ou do NIS2 pergunta como é que a organização garante a continuidade do correio eletrónico, a resposta é um sistema em funcionamento e não um documento de política que faça referência a um SLA do fornecedor
- A soberania como fator de diferenciação comercial: Na UE, muitos contratos do sector público e de infra-estruturas críticas exigem o tratamento de dados no país ou apenas na UE. Na Austrália, a APRA CPS 230 estende essa responsabilidade diretamente aos fornecedores terceiros. Nos EUA, estruturas como o FBI CJIS e o NYDFS exigem que as organizações - e não os seus fornecedores - mantenham um controlo rigoroso sobre os dados sensíveis. Em todos os três casos, as organizações que conseguem demonstrar a soberania dos dados estão a ganhar mandatos que os concorrentes que utilizam apenas a nuvem não podem aceitar.
- Confiança zero, operacionalizada para correio eletrónicoA postura de BCP mais resiliente assume que qualquer sistema pode falhar e projeta de acordo. A arquitetura ativo-em espera com sincronização contínua apresentada acima é o que essa suposição parece quando aplicada à carga de trabalho que as organizações menos podem perder.
- Investimento que se mantém à frente da curvaAs organizações que investem atualmente na resiliência do correio eletrónico híbrido estão a adotar uma atitude proactiva, posicionando-se à frente das exigências regulamentares, operacionais e de mercado, em vez de reagirem após o facto.
Reflexões finais
Era suposto a nuvem simplificar tudo. Para a maioria das cargas de trabalho, ela foi bem-sucedida. Mas a simplicidade sem resiliência é apenas fragilidade com um nome melhor.
Quando as entidades reguladoras chamam, ou quando uma grande falha interrompe as operações, pensa que “confiámos no SLA do nosso fornecedor” será uma resposta aceite?
A era da fé cega no tempo de atividade de um único fornecedor de serviços na nuvem acabou, especialmente para sistemas empresariais críticos como o correio eletrónico. O correio eletrónico é o único canal de comunicação que funciona independentemente da plataforma que a sua contraparte utiliza. É provavelmente por isso que está no centro de quase todas as interações críticas para a empresa. É crucial para todas as relações com os clientes, todas as obrigações regulamentares, todas as transacções em curso. Quando falha, tudo a jusante falha com ela.
Para as organizações que anteriormente dependiam apenas do Microsoft 365, a criação de uma arquitetura de ambiente duplo testável e em tempo real não é apenas prudência técnica. Agora é senso comum regulamentar. Quer isso signifique adicionar um standby Exchange no local para uma soberania completa, ou failover nuvem a nuvem com o Google Workspace para diversidade de fornecedores, o objetivo é o mesmo.
A resiliência deve ser concebida desde o início, para que, quando a simplicidade falhar, a continuidade não falhe.
Quer saber mais sobre este tipo de Arquitetura Active-Stanby e como CB Exchange Server Sync pode funcionar no seu caso? Obtenha uma sessão de consulta gratuita e dedicada com os nossos especialistas técnicos:
Glossário
APRA CPS 230 - Autoridade Australiana de Regulamentação Prudencial, Norma Prudencial CPS 230
DORA - Ato de Resiliência Operacional Digital
FDA 21 CFR Parte 11 - Administração de Alimentos e Medicamentos dos EUA, Título 21, Código de Regulamentos Federais, Parte 11
FISMA - Lei Federal de Gestão da Segurança da Informação
TIC - Tecnologias da Informação e da Comunicação
NIS2 - Europeu diretiva sobre redes e sistemas de informação (SRI)
SLA - Acordo de Nível de Serviço
Continuar a ler sobre o Google Workspace
Sobre o Autor
Por Ana Neto, consultor técnico em Connecting Software.
"Sou engenheiro de software desde 1997, com uma paixão mais recente pela escrita e por falar em público. Tem alguma pergunta ou comentário sobre este artigo? Gostaria muito de receber o seu feedback, deixe um comentário abaixo!"
