O modelo de operação na nuvem – plataforma (PaaS, do inglês, Plataform as a Service), software (SaaS, do inglês, Software as a Service) ou infraestrutura como serviço (IaaS, do inglês, Infrastructure as a Service) –, é assunto que desperta desconfiança ou falta de segurança entre aqueles que ainda não adotaram o modelo em substituição parcial ou total de serviços em nuvem pública, especialmente, em Organizações Públicas.
No modelo da computação em nuvem (Cloud computing) existem três tipos de organização para fornecimento de serviços: a nuvem pública, privada e a híbrida (que conjuga as duas primeiras).
Conforme citado pelo Ministério do Planejamento, a adoção do modelo em nuvem pode trazer alguns benefícios para a organização, como: redução de custos, elasticidade, redução da ociosidade dos recursos, agilidade na implantação de novos serviços, foco nas atividades finalísticas do negócio e uso mais inteligente da equipe de TI (Portaria MP/STI nº 20, 2016).
Falta de um olhar estratégico para a nuvem
Por outro lado, compete às Organizações Públicas criar um conjunto de mecanismos estratégicos e de controle para avaliar, direcionar e monitorar a atuação da gestão das aquisições, com objetivo de que as aquisições agreguem valor ao negócio da organização – Acórdão 2.622/2015-TCU-Plenário.
Portanto, em estudo do Gartner apontado pela Convergência Digital (2018), há sinais de que falta melhor estratégia para a tecnologia no país, pois o foco é no armazenamento de informações: 24% responderam que armazenam informações gerais, 18% registram e-mail, 11% guardam informações sensíveis do negócio, 11% registram dados do fornecedor, 7% aplicativos não tão sensíveis e 12% todas as anteriores.
Pode-se observar ainda, em pesquisa do Gartner, apontada pela HDI (2017), a timidez da Administração Pública quanto à adoção de variados modelo de serviços na nuvem. Por exemplo, dos Órgãos consultados, aproximadamente 3000, apenas 30% adotaram nuvem pública, especialmente, aos serviços que se enquadram modelo de software como serviço (SaaS).
Receios da Adoção do Modelo em Nuvem
Confiança é a grande preocupação no modelo de computação em nuvem. Fatores como jurisdição, responsabilização, privacidade e ameaças associadas à tecnologia de virtualização devem estar bem claros dentro dos contratos de níveis de serviços das empresas que irão prover o serviço da computação em nuvem (HARAUZ et. al., 2009).
Similarmente, a Data Science Academy (DSA, 2017) cita em seu artigo Big Data e Cloud Computing – desafios e oportunidades: Problemas de segurança na nuvem são uma grande preocupação para empresas e provedores.
As preocupações do gestor público quanto à segurança versam sobre acesso aos dados, especialmente àqueles que podem comprometer a segurança nacional ou a paralisação dos serviços de TIC.
Segurança da Informação
O princípio da Continuidade dos Serviços
Além das preocupações quanto à segurança de dados, de software e de infraestrutura dos serviços transferidos para uma nuvem pública, é fundamental considerar, dentre outros princípios, o princípio da continuidade dos serviços.
Assim, a Lei nº 8.987/95, em seu art. 6º, §1º e em conformidade com o art. 175, parágrafo único, IV da Constituição Federal, considera serviço adequado aquele que satisfaz “as condições de regularidade, continuidade, eficiência, segurança, atualidade, generalidade, cortesia na sua prestação e modicidade das tarifas”.
Desta maneira, pelo princípio da continuidade, os serviços públicos devem ser prestados de maneira contínua, ou seja, sem parar. Isso porque é justamente pelos serviços públicos que o Estado desempenha suas funções essenciais ou necessárias à coletividade (Carvalho Filho, 2007).
Alinhado com esse direcionamento, a Portaria MP/STI nº 20, de 14 de junho de 2016 versa sobre as boas práticas, orientações e vedações para contratação de Serviços de Computação em Nuvem e determina:
Os órgãos deverão assegurar, por meio de cláusulas contratuais, que o serviço a ser contratado permita a portabilidade de dados e aplicativos e que as informações do órgão contratante estejam disponíveis para transferência de localização, em prazo adequado e sem custo adicional, de modo a garantir a continuidade do negócio e possibilitar a transição contratual.
Assim sendo, na elaboração de um estudo técnico preliminar, é necessária a observância, dentre outros, ao princípio da continuidade dos serviços.
O gestor público deve considerar, também, algumas restrições impostas pela lei, conforme versa o inciso II do art. 57 da lei 8.666 (1993):
Art. 57. A duração dos contratos regidos por esta Lei ficará adstrita à vigência dos respectivos créditos orçamentários, exceto quanto aos relativos:
II – à prestação de serviços a serem executados de forma contínua, que poderão ter a sua duração prorrogada por iguais e sucessivos períodos com vistas à obtenção de preços e condições mais vantajosas para a administração, limitada a sessenta meses; (Redação dada pela Lei nº 9.648, de 1998)
Exemplos de Riscos a serem tratados
Compete ao gestor público se debruçar sobre os riscos em atendimento aos requisitos legais da contratação.
O TCU, no acórdão 1739/2015-Plenário, aponta os seguintes riscos, quanto à continuidade dos serviços, de contratação de serviços de computação em nuvem:
- Não implementação de controles e salvaguardas suficientes para garantir a continuidade da infraestrutura do provedor, afetando assim a disponibilidade do serviço para o usuário final; e
- Indisponibilidade de elementos da infraestrutura do cliente que são críticos para o acesso a serviços na nuvem.
Gerenciamento de Riscos
Abaixo, exemplifico alguns possíveis riscos que devem ser tratados por ações concretas que resultem em controles eficientes para uma contratação de serviço na nuvem:
- Transcorridos poucos anos de contrato, a empresa contratada resolve, por algum motivo, não querer renovar o contrato vigente (é facultada à empresa a não renovação de um contrato);
- A prestação de serviço é paralisada por falta de planejamento adequado para a migração das plataformas, dos serviços, das aplicações e dos dados para outro provedor de nuvem pública;
- A prestação de serviço é paralisada por dificuldade técnica não prevista quando da execução da migração da pilha de serviços na nuvem pública (IaaS, PaaS, SaaS) e dados.
Conclusão
Assim, cabe ao gestor público conciliar a vantajosidade da adoção de uma nuvem pública com uma boa estratégia de contratação que possa ser sustentável, de forma a garantir a continuidade da prestação dos serviços de TIC.
Referências Bibliográficas
BRASIL. Lei nº 8.666, de 21 de junho de 1993, com alterações resultantes da. Lei 8.883, de 08 de junho de 1994 e da Lei 9.648 de 27 de maio de 1998. Disponível Aqui. BRASIL. Lei nº 8.987, de 13 de fevereiro de 1995. Regime de concessão e permissão da prestação de serviços públicos previsto no art. 175 da Constituição Federal, e dá outras providências, fev.1995. Disponível Aqui. CARVALHO FILHO, José dos Santos. Manual de Direito Administrativo, 18ª ed., Rio de Janeiro: Lumen Juris, 2007, p 287; Convergência Digital, 2018. Com 57% das empresas usuárias da nuvem, Brasil lidera tecnologia na América Latin. Set. 2018. Disponível Aqui. DSA, Equipe. Big Data e Cloud Computing – desafios e oportunidades. Set. 2017. Data Science Academy. Disponível Aqui. HDI, 2017. Pesquisa melhores práticas de serviços de TI no serviço público HDI AGOV 2016/2017. Disponível Aqui. Portaria MP/STI nº 20, de 14 de junho de 2016. Boas práticas, orientações e vedações para contratação de Serviços de Computação em Nuvem. 2016. Disponível Aqui.
Formado em sistemas de informação, com pós-graduação em engenharia de software e cursando pós-graduação em Inteligência Artificial.
Sou adepto da filosofia lean e de métodos ágeis.
Gosto de promover iniciativas com propósitos claros e que gerem engajamento nas equipes, com foco na simplificação e na automação de processos de desenvolvimento de software.
Desde 2009, tenho trabalhado com contratações de serviços de desenvolvimento e sustentação de sistemas, processo de desenvolvimento de software, métricas e qualidade de software. Com minha equipe, criamos a métrica de ponto de especificação por exemplo – PEEX, em uso com a atual fábrica de software.
Em 2017, começamos projeto de disseminação da cultura Devops no TST e já temos projeto piloto em pleno funcionamento.
No momento, sou responsável pela definição de modelo de contratação de soluções cognitivas (ciência de dados) com CRISP-DM e Scrum, no âmbito do TST.
Praticante de diversos esportes (corrida, ciclismo, natação, futvolei, vôlei…); adoro curtir e respeitar a natureza e de, também, tocar instrumentos musicais (violão, teclado e violino).
Casado há 20 anos com a Adriana, grande companheira que tem me apoiado em todas iniciativas que tenho me envolvido, graças a Deus!