Alfredo Pupak Pereira Virote - UFPE€¦ · Em direção a uma proposta de utilização da computação em nuvem na administração pública federal: um estudo de caso no Instituto

Alfredo Pupak Pereira Virote

EM DIREÇÃO A UMA PROPOSTA DE UTILIZAÇÃO DA

COMPUTAÇÃO EM NUVEM NA ADMINISTRAÇÃO PÚBLICA

FEDERAL: UM ESTUDO DE CASO NO INSTITUTO FEDERAL

GOIANO

Dissertação de Mestrado Profissional

Universidade Federal de [email protected]

www.cin.ufpe.br/~posgraduacao

RECIFE2016

www.cin.ufpe.br/~posgraduacao

Alfredo Pupak Pereira Virote

EM DIREÇÃO A UMA PROPOSTA DE UTILIZAÇÃO DACOMPUTAÇÃO EM NUVEM NA ADMINISTRAÇÃO PÚBLICAFEDERAL: UM ESTUDO DE CASO NO INSTITUTO FEDERAL

GOIANO

Trabalho apresentado ao Programa de Pós-graduação em

Ciência da Computação do Centro de Informática da Uni-

versidade Federal de Pernambuco como requisito parcial

para obtenção do grau de Mestre Profissional em Ciência

da Computação.

Orientador: Vinicius Cardoso Garcia

RECIFE2016

Catalogação na fonteBibliotecário Jefferson Luiz Alves Nazareno CRB 4-1758

V819d Virote, Alfredo Pupak Pereira. Em direção a uma proposta de utilização da computação em nuvem na

administração pública federal: um estudo de caso no Instituto FederalGoiano / Alfredo Pupak Pereira Virote – 2016.

96f.: fig., tab.

Orientador: Vinicius Cardoso Garcia. Dissertação (Mestrado Profissional) – Universidade Federal de

Pernambuco. CIn. Ciência da Computação, Recife, 2016. Inclui referências e apêndice.

1. Computação em nuvem. 2. Processo eletrônico. 3. Administração pública federal. I. Garcia, Vinicius Cardoso. (Orientador). II. Titulo.

004.36 CDD (22. ed.) UFPE-MEI 2016-168

Mestrado Profissional apresentada por Alfredo Pupak Pereira Virote ao programa de Pós-Graduação em Ciência da Computação do Centro de Informática da Universidade Federalde Pernambuco, sob o título Em Direção a Uma Proposta de Utilização da Computaçãoem Nuvem na Administração Pública Federal: Um Estudo de Caso no Instituto FederalGoiano, orientada pelo Prof. Vinicius Cardoso Garcia e aprovada pela banca examinadoraformada pelos professores:

———————————————————————–Prof. Vinicius Cardoso GarciaCentro de Informática/UFPE

———————————————————————–Prof. Hermano Perelli de Moura

Centro de Informática/UFPE

———————————————————————–Prof. Júlio César Damasceno

Departamento de Ciência da Computação/UFRPE

RECIFE2016

Dedico esse trabalho aos meus pais João e Shirley, com

todo meu amor e gratidão, por tudo que fizeram ao longo de

minha vida. Desejo poder ter sido merecedor do esforço

dedicado por vocês em todos os aspectos, especialmente

quanto à minha formação. Dedico também a minha esposa

Stephanny, meu filho João Victor e minha irmã Karla, pelo

amor, apoio, confiança e motivação incondicional que

sempre me impulsionou em direção às vitórias dos meus

desafios.

Agradecimentos

Gostaria de agradecer primeiramente a Deus que permitiu que tudo isso acontecesse, aolongo de minha vida, e não somente nestes anos como aluno de pós-graduação, mas que emtodos os momentos é o maior mestre que alguém pode conhecer.

A toda minha familia, em especial minha mãe e pai Shirley e João que foram os principaisincentivadores dos meus estudos, minha esposa Stephanny que me incentivou nos momentosmais difíceis dando total apoio moral, ao meu filho João Victor por compreender os momentosausentes, e a minha irmã Karla por me auxiliar quando pode.

Agradeço a todos os professores do Centro de Informática da Universidade Federalde Pernambuco (CIN), por me proporcionarem o conhecimento não apenas racional, mas amanifestação do caráter e afetividade da educação no processo de formação profissional.

Em especial ao meu orientador professor Doutor Vinicius Cardoso Garcia, pela oportu-nidade dada, pelas trocas de ideias, pela cobrança, por me ensinar a ter uma visão crítica dosresultados, e pelos caminhos que foram indicados.

Aos meus amigos da turma de mestrado profissional de Goiás, Daniel, Ricardo e Winder,por me darem todo apoio e incentivo necessário aos estudos das disciplinas cursadas, e ainda porprestarem todo apoio moral na semana de estudos em Recife.

Ao Diretor de TI e Gerentes de TI do Instituto Federal Goiano, que foram de fundamentalimportância para a realização deste trabalho.

Ao Instituto Federal Goiano por me conceder uma bolsa de mestrado, que foi essencialpara auxiliar nos gastos despendidos no estudo da pesquisa.

Finalmente, gostaria de agradecer a todos que contribuíram de alguma forma direta ouindiretamente à realização de mais uma etapa na minha vida.

Obrigado a todos!

“O sucesso nasce do querer, da determinação e persistência em se chegar a

um objetivo. Mesmo não atingindo o alvo, quem busca e vence obstáculos,

no mínimo fará coisas admiráveis."

—JOSÉ DE ALENCAR

Resumo

Atualmente, a Administração Pública Federal (APF) passa por uma constante modernizaçãona forma de prestar os serviços públicos à população em geral, e essa modernização vemacompanhada de uma crescente demanda por recursos de Tecnologia da Informação (TI). ODecreto no 8.539, de 8 de outubro de 2015, tem como principal objetivo promover a utilização demeios eletrônicos para a realização dos processos administrativos com segurança, transparênciae economicidade, e também para facilitar o acesso do cidadão às instâncias administrativas.Entretanto, o prazo para implantação do sistema de Processo Eletrônico Nacional (PEN) é deapenas dois anos a partir da data do Decreto, e nem todos os órgãos da APF estão preparadospara disponibilizar a infraestrutura de TI adequada para implantar o sistema em tempo hábil.Esta dissertação apresenta um método baseado na opinião de especialistas em TI com o objetivode identificar as principais dificuldades enfrentadas pelos Gestores de TI em relação a Gestãode Infraestrutura de TI e na aquisição de novas de soluções de TI para atender ao sistemaPEN. Como solução para este problema será apresentada uma proposta contendo o Catálogo deBoas Práticas a serem seguidos para adoção da Computação em Nuvem na APF. Na pesquisafoi constatado que as principais dificuldades dos Gestores de TI estão relacionadas com oprocesso de contratação burocrático exigido pela Instrução Normativa no 4 de 2014 e com a leino 8.666/93 de licitações e contratos. O Catálogo de Boas Práticas contém o passo-a-passo comas orientações e recomendações a serem seguidas pelos Gestores de TI na contratação de serviçosde Computação em Nuvem na APF, abrangendo desde a parte de governança, segurança ebilhetagem, até a forma de monitoramento e gerenciamento dos recursos computacionais emnuvem.

Palavras-chave: Computação em Nuvem. Processo Eletrônico Nacional. Tecnologia daInformação. Administração Pública Federal.

Abstract

Currently, the Federal Public Administration (APF) goes through a constant modernization inorder to provide public services to the population in general, and this modernization has beenaccompanied by an increasing demand for resources of Information Technology (TI). The Decreeno 8.539, of October 8, 2015, aims to promote the use of electronic means to the realizationof administrative processes with security, transparency and economy, and also to facilitate theaccess of citizens to administrative instances. However, the deadline to the implantation of theSystem of National Electronic Process (PEN) is only two years from the date of the Decree, andnot all organs of APF are prepared to provide the appropriate IT infrastructure to deploy thesystem in a timely manner. This dissertation presents a method based on the opinion of IT expertsin order to identify the main difficulties faced by IT managers in relation to IT InfrastructureManagement and the acquisition of new IT solutions to meet the PEN system. As a solutionto this problem it is gonna be presented a proposal containing the Catalog of Best Practices tobe followed for the adoption of Cloud Computing in APF. In the research it was found that themain difficulties of IT managers are related to the proccess of bureaucratic hiring required byNormative Instruction no 4, 2014 and the Law no 8.666/93, of bids and contracts. The Catalogof Best Practices contains the step-by-step with the orientations and recommendations to befollowed by IT managers in hiring services of Cloud Computing in APF, covering from thepart of Governance, Security and Ticketing until the form of monitoring and managementof Cloud Computing Resources.

Keywords: Cloud Computing. National Electronic Process. Information Technology. FederalPublic Administration.

Lista de Figuras

2.1 Processo de Contratação de Soluções de TI na APF . . . . . . . . . . . . . . . 272.2 Visão Macro da Infraestrutura de TI necessária no IFB . . . . . . . . . . . . . 282.3 Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.4 Consumidores de Serviços em Nuvem . . . . . . . . . . . . . . . . . . . . . . 362.5 Visão Geral da Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . 39

3.1 Área de formação dos participantes . . . . . . . . . . . . . . . . . . . . . . . . 453.2 Cargos dos profissionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453.3 Tempo de serviço no cargo de Gestão em TI . . . . . . . . . . . . . . . . . . . 463.4 Aplicabilidade da Governança de TI . . . . . . . . . . . . . . . . . . . . . . . 473.5 Força de trabalho da equipe de TI . . . . . . . . . . . . . . . . . . . . . . . . 473.6 Impedimentos nas contratações de soluções de TI na APF . . . . . . . . . . . . 483.7 Tempo médio gasto para aquisição de Ativos de Rede na APF . . . . . . . . . 493.8 Tempo médio gasto para aquisição de licenças de software na APF . . . . . . . 503.9 Tempo médio gasto para o desenvolvimento de sistemas e aplicações de TI . . . 513.10 Percentual de utilização cargas de trabalho nos Datacenters . . . . . . . . . . 523.11 Controle sobre o Gerenciamento dos Datacenters . . . . . . . . . . . . . . . . 53

4.1 Relação entre Planejamento Estratégico e PDTI (Modificado pelo autor) . . . . 584.2 Orientações da aplicabilidade do Catálogo de Boas Práticas . . . . . . . . . . 614.3 Modelo de Ciclo de vida dos Dados - (Modificado pelo autor) . . . . . . . . . 65

Lista de Tabelas

1.1 Quadro Metodológico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201.2 Formação dos Gestores de TI . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.1 Descrição dos Datacenters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

4.1 Metas para adoção de Computação em Nuvem na APF . . . . . . . . . . . . . 594.2 Perfil de Acesso do Usuário aos dados armazenados em Nuvem . . . . . . . . 664.3 Porcentagem de crédito de serviço na fatura mensal . . . . . . . . . . . . . . . 684.4 Níveis de Severidade para chamados técnicos . . . . . . . . . . . . . . . . . . 684.5 Prazos para solução definitiva . . . . . . . . . . . . . . . . . . . . . . . . . . . 694.6 Definição de alertas e ações no gerenciamento de recursos . . . . . . . . . . . 714.7 Tabela Comparativa de Contratações de Computação em Nuvem . . . . . . . . 73

Lista de Acrônimos

APF Administração Pública Federal

APIs Application Programming Interface

CAFe Comunidade Acadêmica Federada

CPU Central Processing Unit

FINEP Empresa Pública Financiadora de Estudos e Projetos

HTTP Hypertext Transfer Protocol

IaaS Infrastructure as a Service

IEC International Electrotechnical Commission

IEEE Institute of Electrical and Electronics Engineers

IFB Instituto Federal de Brasilia

IF Goiano Instituto Federal Goiano

ITGI Information Technology Governance Institute

IPsec IP Security Protocol

ISO International Organization for Standardization

L2TP Layer 2 Tunnelling Protocol

MIT Massachusetts Institute of Technology

NIST National Institute of Standards and Technology

PaaS Platform as a Service

PEN Processo Eletrônico Nacional

PDTI Plano Diretor de Tecnologia da Informação

PGP Pretty Good Privacy

PGR Procuradoria Geral da República

RAM Randon Access Memory

RESTful Representational State Transfer

RDP Remote Desktop Connection

RNP Rede Nacional de Ensino e Pesquisa

SaaS Software as a Service

SAML Security Assertion Markup Language

SISP Sistema de Administração dos Recursos de Tecnologia da Informação

SLA Service Level Agreement

SLO Service Level Objective

SSH Secure Shell Protocol

SQL Structured Query Language

TCP/IP Transmission Control Protocol/Internet Protocol

TCU Tribunal de Contas da União

TI Tecnologia da Informação

USP Universidade de São Paulo

VLANs Virtual Lans

VPN Virtual Private Network

VMs Virtual Machines

WAF Web Application Firewall

Sumário

1 INTRODUÇÃO 151.1 Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161.2 Apresentação do Problema . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181.3 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1.3.1 Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.3.2 Específicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

1.4 Metodologia de Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191.5 Classificação Geral da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . 20

1.5.1 Opinião de Gestores em TI . . . . . . . . . . . . . . . . . . . . . . . . 221.6 Técnicas e Ferramentas utilizadas na coleta dos dados . . . . . . . . . . . . . . 231.7 Estrutura da Dissertação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

2 REFERENCIAL TEÓRICO 262.1 Contratações de Soluções de TI na APF . . . . . . . . . . . . . . . . . . . . . 262.2 Levantamento de Requisitos para o Sistema PEN no Instituto Federal de Brasília 282.3 Histórico da Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . . . 292.4 Definição para Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . 302.5 Características Essenciais da Computação em Nuvem . . . . . . . . . . . . . . 32

2.5.1 Serviço sob demanda . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.5.2 Elasticidade rápida . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.5.3 Amplo acesso a rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 322.5.4 Serviços confiáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332.5.5 Serviços Medidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

2.6 Modelos de Serviço para Computação em Nuvem . . . . . . . . . . . . . . . . 332.6.1 Infraestrutura como Serviço - IaaS . . . . . . . . . . . . . . . . . . . . 342.6.2 Plataforma como Serviço - PaaS . . . . . . . . . . . . . . . . . . . . . 342.6.3 Software como Serviço - SaaS . . . . . . . . . . . . . . . . . . . . . . 35

2.7 Modelos de Implantação para Computação em Nuvem . . . . . . . . . . . . . 372.7.1 Nuvem Privada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372.7.2 Nuvem Pública . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.7.3 Nuvem Comunitária . . . . . . . . . . . . . . . . . . . . . . . . . . . 382.7.4 Nuvem Híbrida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

2.8 Stakeholders na Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . 402.8.1 Cloud Consumer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402.8.2 Cloud Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

14

2.8.3 Cloud Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412.8.4 Cloud Broker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412.8.5 Cloud Carrier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

2.9 Resumo do Capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

3 ANÁLISE E INTERPRETAÇÃO DOS RESULTADOS 433.0.1 Caracterização do Instituto Federal Goiano . . . . . . . . . . . . . . . 443.0.2 Perfil dos Participantes Envolvidos na Pesquisa . . . . . . . . . . . . . 443.0.3 Aplicabilidade da Governança de TI . . . . . . . . . . . . . . . . . . . 463.0.4 Projetos de Aquisição de Ativos de Rede e Licenças de Software . . . . 483.0.5 Utilização da Infraestrutura de Datacenter no IFGOIANO . . . . . . . 513.0.6 Discussão dos Resultados . . . . . . . . . . . . . . . . . . . . . . . . 53

3.1 Resumo do Capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

4 CATÁLOGO DE BOAS PRÁTICAS PARA CONTRATAÇÕES DE COMPUTAÇÃOEM NUVEM NA APF 564.1 Contratação de Serviços de Redes de Telecomunicações na APF . . . . . . . . 564.2 Metas para Adoção de Computação em Nuvem na APF . . . . . . . . . . . . . 584.3 Boas Práticas de Governança e Segurança da Informação para contratação de

serviços de Computação em Nuvem na APF . . . . . . . . . . . . . . . . . . . 624.3.1 Boas Práticas para os Contratos de Níveis de Acordo de Serviço - SLAs

em Provedores de Nuvem . . . . . . . . . . . . . . . . . . . . . . . . 664.3.2 Boas Práticas para o Cálculo da Bilhetagem Básica na Tarifação da

Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . . . . . 694.3.3 Boas Práticas para o Gerenciamento e Monitoramento dos Recursos

Computacionais na Computação em Nuvem . . . . . . . . . . . . . . . 704.4 Análise Comparativa do Catálogo de Boas Práticas com Contratações de Com-

putação em Nuvem em Órgãos Públicos . . . . . . . . . . . . . . . . . . . . . 724.5 Resumo do Capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

5 CONSIDERAÇÕES FINAIS 835.1 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835.2 Limitações da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 855.3 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Referências 87

Apêndice 92

A Questionário Aplicado aos Gestores de TI 93

151515

1INTRODUÇÃO

A Administração Pública Federal (APF) é a responsável por prestar diversos tipos deserviços públicos à população em geral nas áreas de segurança, saúde, educação, cultura, dentreoutras. A principal ferramenta que é utilizada para prestação desses serviços é a Tecnologia daInformação (TI), que pode ser oferecida ao usuário na forma de sistemas ou aplicações. Essaprestação de serviços públicos utilizando a TI é uma tendência global e a confiança da populaçãosó vai ser adquirida se esses serviços forem prestados com eficiência e qualidade (YEH et al.,2010).

Esses sistemas além de confiáveis, tem que agregar valores como facilidade de manutenção,redução de custos com infraestrutura de TI, aumento de recursos como armazenamento, processa-mento e redes, além de disponibilizar um maior nível de automação e facilidade de gerenciamento(WYLD, 2009). A Computação em Nuvem surge como um novo modelo de computação e podedesempenhar essas funções fornecendo esses serviços aos usuários sob demanda e em temporeal (TRIPATHI; PARIHAR, 2011).

A crescente demanda por recursos tecnológicos no Governo Federal mudou a formade prestação de serviços à sociedade e essa foi uma das principais causas para acontecer umamudança de paradigma, onde surge uma nova forma de administrar, com a automação derotinas administrativas e com a construção de processos organizacionais que são gerenciadosprincipalmente por algum tipo de serviço ou aplicação de TI.

O Decreto n° 8.539, de 8 de outubro de 2015, trouxe a necessidade da mudança deparadigma no que diz respeito aos processos administrativos nos órgãos da APF, os quais seencontram intimamente ligados à “cultura do papel” e aos procedimentos analógicos pertinentes aesta. Este decreto tem o prazo para implementação de até dois anos e tem como principal objetivopromover a utilização de meios eletrônicos para a realização dos processos administrativos comsegurança, transparência e economicidade, e também para facilitar o acesso do cidadão àsinstâncias administrativas.

Diante desta realidade se percebeu o desafio dos órgãos da APF em atender de formaágil e eficiente a implantação em âmbito nacional do sistema de Processo Eletrônico Nacional

1.1. MOTIVAÇÃO 16

(PEN). De acordo com o Ministério do Planejamento1 o sistema PEN:

"É uma iniciativa conjunta de órgãos e entidades de diversas esferas da ad-ministração pública, com o intuito de construir uma infraestrutura pública deprocessos e documentos administrativos eletrônicos, objetivando a melhoriano desempenho dos processos do setor público, com ganhos em agilidade,produtividade, transparência, satisfação do usuário e redução de custos.O PEN introduz práticas inovadoras no setor público – elimina o uso depapel como suporte físico para documentos institucionais e disponibilizainformações em tempo real."

Sabe-se que o método tradicional para as aquisições de soluções de TI são reguladasprincipalmente pela Instrução Normativa no 42, de 11 de setembro de 2014, que dispõe sobre oprocesso de contratação de soluções de TI pelos órgãos integrantes do Sistema de Administraçãodos Recursos de Informação e Informática - SISP do Poder Executivo Federal, e pela lei no

8.6663, de 21 de junho de 1993, que institui as normas para licitações e contratos da APF. Essasleis e instruções normativas impostas pela legislação acabam por burocratizar as etapas de umprocesso de licitação podendo levar vários meses e, às vezes, podendo chegar a levar anos parasua concretização.

Neste sentido, esta dissertação vai abordar um estudo de caso aplicado no InstitutoFederal Goiano (IF Goiano) com o objetivo de investigar as principais dificuldades enfrentadaspelos Gestores de Tecnologia da Informação em questões que envolvam a aquisição de soluçõesde TI, como ativos de rede e licenças de software, além do monitoramento do uso dos recursoscomputacionais existentes para o atendimento ao Decreto n° 8.539, de 8 de outubro de 2015.

Como solução para este tipo de problema será apresentada uma proposta contendoo Catálogo de Boas Práticas para a adoção da Computação em Nuvem na APF. A pesquisafoi conduzida por um estudo exploratório sobre o assunto de Computação em Nuvem coma realização de surveys de natureza qualitativa, utilizando o método baseado na opinião deespecialistas em TI que atuam no IF Goiano.

1.1 Motivação

Apesar da Computação em Nuvem ser amplamente divulgada e utilizada pela maioriadas organizações ao redor do mundo, a utilização deste modelo de computação ainda enfrentaresistência por parte da alta direção na maioria dos órgãos que compõem a APF. O acórdãono 1.739 de 2015 do Tribunal de Contas da União4 (TCU) disponibiliza os critérios para a

1http://www.planejamento.gov.br/pensei2http://www.governoeletronico.gov.br/eixos-de-atuacao/governo/sistema-de-administracao-dos-recursos-

de-tecnologia-da-informacao-sisp/ncti-nucleo-de-contratacoes-de-tecnologia-da-informacao/in-4-instrucao-normativa-mp-slti-no-4-2014

3http://www.planalto.gov.br/ccivil_03/leis/L8666cons.htm4http://portal.tcu.gov.br

1.1. MOTIVAÇÃO 17

elaboração de procedimentos para a contratação de serviços de TI sob o modelo de Computaçãoem Nuvem e, neste mesmo documento, na seção de Introdução, no item 3, diz que:

"Os benefícios oferecidos por esse novo modelo permitem o foco nasfunções essenciais da organização. Além dos benefícios esperados pelaterceirização em geral, o modelo traz benefícios específicos como: maiordisponibilidade, flexibilidade da oferta do serviço em função de variaçõesna demanda, menor dependência de pessoal qualificado, possível reduçãode vários riscos de segurança, pagamento por uso efetivo de recursos epotencial redução de custos."

O Ministério do Planejamento, Orçamento e Gestão juntamente com a Secretaria deTecnologia da Informação divulgou por meio do site do Governo Eletrônico5 um manual de boaspráticas, orientações e vedações para contratação de serviços de Computação em Nuvem na APF.Neste documento são destacados os benefícios que a Computação em Nuvem pode trazer para asempresas e órgãos do Governo Federal como, por exemplo: redução de custos, elasticidade,redução da ociosidade dos recursos, agilidade na implantação de novos serviços, foco nasatividades finalísticas do negócio e uso mais inteligente da equipe de TI.

A APF está em constante modernização com a prestação de serviços de forma online emtodos os estados do Brasil. Essa modernização é caracterizada por uma crescente demanda nautilização de recursos de TI e também pelo aumento da oferta dos serviços eletrônicos que sãodisponibilizados por meio de sistemas e aplicações de TI. Diante desta realidade a APF podeapresentar problemas para incrementar e/ou atualizar as suas infraestruturas de TI já existentes,com o objetivo de atender as demandas mais urgentes, se fazendo necessário mais investimentosem novas soluções de TI. Ressalta-se que nesse contexto a Computação em Nuvem pode vira ser uma excelente alternativa, especialmente no que diz respeito a redução de custos comcomputadores e ativos de rede (ERCAN, 2010).

Em meio a toda esta modernização surge o sistema de Processo Eletrônico Nacional(PEN), que é uma solução de processo eletrônico com o objetivo de ser utilizado em qualquerórgão ou instituição pública, sendo ela municipal, estadual ou federal, independentemente doporte e da área de atuação específica. O grande desafio da implantação deste sistema em âmbitonacional é justamente conseguir uma infraestrutura de TI que suporte as demandas das aplicaçõesadvindas do sistema em um curto prazo, de apenas dois anos contados a partir da data do Decreton° 8.539, de 8 de outubro de 2015.

Diante deste cenário promissor que a Computação em Nuvem pode trazer a APF, faz-senecessário a formulação de uma proposta contendo o Catálogo de Boas Práticas para a adoçãoda Computação em Nuvem na APF para atender ao sistema PEN, pois até o presente momentonão existe nenhuma proposta efetiva que sirva de referência ou ainda que oriente a forma decontratação de serviços de Computação em Nuvem para empresas e órgãos da APF.

5http://governoeletronico.gov.br/sisp-conteudo/nucleo-de-contratacoes-de-ti/orientacoes-de-ti

1.2. APRESENTAÇÃO DO PROBLEMA 18

1.2 Apresentação do Problema

O principal objetivo da APF é prestar os serviços públicos com eficiência e qualidade.Mas em se tratando de serviços que envolvam sistemas e aplicações de TI podem surgir váriosproblemas que afetam diretamente na qualidade desses serviços. De acordo com RASTOGI(2010), as principais causas podem ser:

� A necessidade de aumentar a capacidade de armazenamento, processamento e recur-sos de rede.

� Disponibilidade e preservação da integridade dos dados.

� Gastos elevados com a compra de ativos de rede e licenças de software.

� Segurança física de Datacenters.

Segundo KUNDRA (2011) os órgãos públicos federais são caracterizados por possuíremdemandas fragmentadas, sistemas duplicados, com recursos de TI sub-utilizados e tambémpor apresentarem ambientes de difícil gerenciamento. Estas ineficiências podem impactarnegativamente na capacidade do governo em servir o público em geral.

Outra preocupação é com os desafios técnicos enfrentados pelo governo. Existemvários sistemas legados que exigem uma grande bagagem de conhecimento técnico por partedos profissionais envolvidos (TRIPATHI; PARIHAR, 2011). O problema é que a manutençãodesses sistemas podem se tornar insustentáveis ou até mesmo inviáveis devido ao alto grau decomplexidade exigido para mantê-los em funcionamento.

Já para CANABARRO; CEPIK (2010) o desafio de aprimorar os usos das Tecnologias daInformação no Poder Executivo Brasileiro envolvem questões que vão muito além da tecnologia.Esse processo de aprimoramento tem que estar adequado às necessidades e aspirações daAdministração Pública, além de entregar com eficiência e qualidade todas as prestações deserviços a sociedade em geral.

Devido a necessidade de atendimento ao Decreto n° 8.539, de 8 de outubro de 2015, quedispõe sobre o uso de um meio eletrônico para implantar o sistema do PEN6, fica bem evidentea necessidade de se disponibilizar uma infraestrutura de TI adequada e que suporte as cargasde trabalho de processamento e armazenamento que serão exigidos pelo sistema aos diversosórgãos da APF. Entretanto a maioria dos órgãos não possuem a infraestrutura de TI ideal ouminimamente necessária para a implementação imediata do sistema.

Diante deste problema que surgiu de forma iminente, com o prazo máximo de dois anospara ser cumprido, faz-se necessário um estudo para verificar quais são as principais dificuldadesque os Gestores de TI da APF enfrentam para disponibilizar novas soluções de TI para oatendimento de demandas mais urgentes, e a partir deste estudo, propor um Catálogo de Boas

6https://processoeletronico.gov.br/

1.3. OBJETIVOS 19

Práticas contendo as diretrizes a serem seguidas nas contratações de serviços de Computaçãoem Nuvem para a APF, com o objetivo de disponibilizar os recursos computacionais necessáriospara a implantação do PEN de uma forma mais rápida e eficiente.

Mediante os critérios evidenciados nesta seção, a realização desta pesquisa foi motivadaprincipalmente pelo seguinte questionamento: Quais são as boas práticas a serem adotadaspela APF nas contratações de serviços de Computação em Nuvem?

1.3 Objetivos

1.3.1 Geral

Elaborar um catálogo de boas práticas para contratações de serviços de Computação emNuvem contendo o passo a passo das diretrizes a serem seguidas nos diversos órgãos da APF.

1.3.2 Específicos

� Verificar o atual cenário das contratações de Soluções de TI para a implantação dosistema PEN na APF;

� Especificar as melhores práticas relacionadas a Governança de TI e Segurança daInformação nas contratações de Computação em Nuvem;

� Especificar quais são o critérios a serem aplicados nos contratos de níveis de acordode serviço (SLAs) em serviços de Computação em Nuvem;

� Definir um método de pagamento que contemple uma equação de bilhetagem básicados recursos computacionais consumidos em nuvem;

� Especificar as melhores práticas para o gerenciamento e monitoramento dos recursoscomputacionais contratados em provedores de Computação em Nuvem;

1.4 Metodologia de Pesquisa

Esta pesquisa tem como principal objetivo encontrar as dificuldades enfrentadas pelosGestores de TI da APF em questões relacionadas a aplicabilidade da Governança de TI, aquisiçõesde novas soluções de TI, como ativos de rede e licenças de software, além do gerenciamento emonitoramento de infraestrutura de Datacenter. Para conseguir extrair o máximo de informaçõespossível sobre o assunto foi realizada a escolha com o consentimento do orientador de ummétodo que é baseado na opinião de pessoas que são Gestores em TI e que atuam a pelo menosdois anos em um cargo estratégico, como o de direção ou gerência de TI.

1.5. CLASSIFICAÇÃO GERAL DA PESQUISA 20

O estudo conta ainda com um estudo exploratório na literatura sobre a aplicabilidadee desafios encontrados na implantação de soluções de Computação em Nuvem em órgãospúblicos federais ao redor do mundo. O método de procedimento da pesquisa aborda um estudode caso aplicado em uma instituição federal de ensino, conhecida como Instituto Federal deEducação, Ciência e Tecnologia Goiano (IF Goiano) e essa escolha foi feita justamente por seruma autarquia federal e se enquadrar perfeitamente no objeto de interesse da pesquisa.

Para a coleta e análise dos dados e resultados foram utilizadas técnicas e ferramentasadotadas no campo de estudo de ciência da computação. Para esclarecer de forma mais detalhadaos métodos utilizados neste capítulo será realizada uma subdivisão em três seções: ClassificaçãoGeral da Pesquisa, Técnicas e Ferramentas utilizadas na coleta dos dados e, por último aapresentação dos dados com a análise e discussão dos resultados.

1.5 Classificação Geral da Pesquisa

A pesquisa que foi realizada para a elaboração dessa dissertação pode ser classificadaperante cinco aspectos principais : quanto ao método, quanto ao objetivo, natureza dos dados,método de procedimento e método de abordagem. Por meio da Tabela 1.1 é possível ver o quadrometodológico de uma forma resumida.

Quadro MetodológicoQuanto ao Método IndutivoQuanto ao Objetivo Pesquisa ExploratóriaNatureza dos Dados Qualitativa

Método de Procedimento Estudo de CasoMétodo de Abordagem Opinião de Gestores em TI

Tabela 1.1: Quadro Metodológico

A escolha do método indutivo para escrita dessa dissertação se deu em função dacaracterização da pesquisa, onde as conclusões são constatadas a partir de deduções de umaverdade geral ou universal, baseadas em estudos ou acontecimentos observados sobre os casosseguindo uma linha de raciocínio fundamentada em argumentos (LAKATOS; MARCONI, 2007).

Ainda segundo LAKATOS; MARCONI (2007) o método indutivo é realizado em trêsetapas: 1) Observação dos fenômenos: aqui serão observados os acontecimentos ou fenômenoscom uma constatação das possíveis causas; 2) Descoberta da relação entre eles: será realizadauma comparação para aproximar os fatos ou fenômenos e descobrir a relação entre eles; e 3)generalização da relação - é generalizada a relação entre os fenômenos e fatos semelhantes.

No que diz respeito ao objetivo, a pesquisa é classificada como exploratória, onde épermitida ao pesquisador aumentar sua experiência em razão de um determinado problemaespecífico. Neste caso serão estudadas as principais características e vantagens que o modelode Computação em Nuvem pode oferecer em relação ao modelo tradicional de computação


para a APF. A partir do problema definido o investigador parte de uma hipótese e aprofundaseus estudos, buscando maiores conhecimentos para, então planejar e delimitar o escopo de suapesquisa (TRIVIÑOS, 1987).

Com o intuito de realizar uma pesquisa mais detalhada e aprofundada na literatura deComputação em Nuvem, o método de pesquisa exploratório tem o objetivo de identificar osmodelos e mecanismos de propostas de utilização de ambientes de Computação em Nuvem naAPF (WYLD, 2009). Os estudos que foram utilizados para a busca de artigos científicos foirealizada nas seguintes fontes de pesquisa: IEEEXplore Digital Library7, ACM Digital Library8,Scopus9, Science Direct10, Google Schoolar11. Já a estratégia de busca com as palavras-chaveseguiu a seguinte lógica:

Cloud [AND]

Migration <OR> Evolution <OR> Adoption <OR> Transformation <OR> Modernization

<OR> Integration <OR> Adoption <OR> Moving

[AND]

Government <OR> E-Government <OR> Governance <OR> E-Governance <OR> Systematic

Literature Review <OR> Literature Review <OR> SLR <OR> Literature Survey <OR>

Research Review

O estudo exploratório da literatura auxiliou no entendimento de uma forma clara eobjetiva quais são as principais características e aplicações envolvendo a Computação em Nuvem(Cloud Computing), como suas características essenciais, modelos de serviço, modelos deimplantação, entre outros. Esse estudo também auxiliou na elaboração da fundamentação daproposta de pesquisa, mapeando os trabalhos relacionados e fornecendo os subsídios necessáriospara construir o referencial teórico, além de ser fundamental para a elaboração da proposta quecontém o Catálogo de Boas Práticas a serem seguidos na adoção de práticas de Computaçãoem Nuvem na APF.

Em relação a natureza dos dados e das análises adotadas, a pesquisa caracteriza-se comoqualitativa, pois a preocupação maior não é com a quantificação e técnicas da amostragem, massim com uma série de condições importantes para o esclarecimento do assunto do ponto de vistado investigador. Esse método preocupa-se em analisar de uma forma mais detalhada os hábitos,tendências, atitudes e comportamentos humanos (TRIVIÑOS, 1987; LAKATOS; MARCONI,2007). Vale ressaltar que também é possível perceber pequenos traços quantitativos, uma vez

7http://ieeexplore.ieee.org/Xplore/home.jsp8http://dl.acm.org/9http://scopus.com

10http://sciencedirect.com11https://scholar.google.com.br/


que foram utilizadas ferramentas de coleta de dados em computação para representar os dadosda pesquisa.

É importante salientar que essa pesquisa é caracterizada por um estudo de caso realizadono IF Goiano. O estudo de caso tem o objetivo de fornecer um conhecimento mais aprofundadode uma realidade delimitada de um determinado caso sob todos os seus aspectos (LAKATOS;MARCONI, 2007). Os resultados atingidos por uma pesquisa em um estudo de caso podepermitir e formular hipóteses para o encaminhamento de outras pesquisas (TRIVIÑOS, 1987).

1.5.1 Opinião de Gestores em TI

A abordagem utilizada para coletar os dados qualitativos é realizada através de umquestionário survey, e utiliza o método baseado na opinião de Gestores em TI (COOKE, 1991;LI; SMIDTS, 2003; CONBOY; FITZGERALD, 2010; JONGSAWAT; PREMCHAISWADI,2010; WU; LIU; JIN, 2010) que atuam no IF Goiano. Este survey vai extrair as informaçõesque serão utilizadas para entender a atual situação enfrentada pelos Gestores de TI no que dizrespeito ao planejamento e gestão da capacidade de recursos de TI, nível de governança, além dopercentual de cargas de trabalho em seus respectivos Datacenters.

Segundo COOKE (1991), a opinião de um especialista em uma determinada área podeser definida como uma série de esforços científicos que são utilizados para interpretar os dados,prever o comportamento de um sistema, e avaliar incertezas. A utilização deste método com aopinião de especialistas se justifica pelos profissionais que estão envolvidos nesta pesquisa, poistodos esses especialistas atuam diretamente em algum cargo estratégico de Gestão de TI na APF.Para uma melhor visualização a Tabela 1.2 demonstra a área de formação, e o cargo ocupado porcada um destes Gestores de TI do IF Goiano.

Gestor de TI Área de Formação Cargo OcupadoParticipante A Engenharia da Computação Diretor de TIParticipante B Sistemas da Informação Diretor de TIParticipante C Sistemas da Informação Coordenador de TIParticipante D Processamento de Dados Gerente de TIParticipante E Processamento de Dados Gerente de TIParticipante F Processamento de Dados Gerente de TI

Tabela 1.2: Formação dos Gestores de TI

O processo de aplicação do método da opinião de Gestores em TI foi inspirado notrabalho de LI; SMIDTS (2003), e é composto pelos seguintes passos:

1. Declaração do Problema: O problema e a visão geral tem que ser claramentedefinidos e sistematizados;

2. Seleção dos Especialistas: Onde o número de especialistas tem que ser baseadosem critérios como capacidade de conhecimento, confiabilidade e perícia;

1.6. TÉCNICAS E FERRAMENTAS UTILIZADAS NA COLETA DOS DADOS 23

3. Elicitação das Opiniões: Nesta etapa são organizadas as perguntas certas paragarantir o sucesso na condução do processo de elicitação;

4. Agregação das Opiniões: A ideia é chegar a um consenso ou opinião geral combase ne qual decisão será tomada;

5. Tomada de Decisão: Este passo estabelece a decisão de acordo com o parecer doconsenso das opiniões.

A disciplina na execução de cada um desses passos de forma rigorosa e sistemática éa chave para o sucesso deste trabalho, pois esse método aplica-se a pessoas que estão atuandodiretamente com a área de gestão de TI na APF, e os resultados obtidos são aplicados na dia adia desses profissionais que atuam em uma área estratégica do Governo Federal que é a TI.

Ressalta-se ainda que esta pesquisa é conduzida por um estudo empírico (WAZLAWICK,2009) realizado no IF Goiano, onde os fenômenos qualitativos foram estudados e analisados comas opiniões fornecidas por especialistas em TI que atuam na APF. A melhor forma de avaliaresses resultados é utilizando a metodologia proposta por KITCHENHAM et al. (2007). Nessemétodo o pesquisador necessita ser rigoroso, sistemático e capaz, para localizar, avaliar, agregare tomar decisões com os resultados de uma pesquisa relacionada a um determinado assunto afim de proporcionar um resumo objetivo das provas relevantes.

1.6 Técnicas e Ferramentas utilizadas na coleta dos dados

Com o objetivo de encontrar os desafios enfrentados pelos Gestores de TI nas suasatribuições relacionadas a parte de governança de TI, projetos de aquisição de ativos de redee licenças de software e gerenciamento da infraestrutura de TI na APF, foram utilizadas umatécnica e três ferramentas para a coleta dos dados.

A técnica que mais se adequou para a realidade deste trabalho foi o questionário. SegundoLAKATOS; MARCONI (2009) o questionário é um instrumento utilizado para a coleta de dadosconstituído por uma série de perguntas ordenadas e bem estruturadas com o objetivo de atingirum maior número de pessoas com as respostas mais rápidas e mais precisas.

De acordo com WAZLAWICK (2009), as pesquisas cientificas no campo da ciência dacomputação consistem na formulação de hipóteses e coleta de evidências para se ter a certezada validade destas hipóteses. Uma forma de coletar estas opiniões ou argumentações é coma construção de questionários. Através deles são coletadas as evidências necessárias para avalidação de uma hipótese.

A ferramenta utilizada para elaborar o questionário aplicado aos Gestores de TI foi aLimeSurvey12. Esta é uma ferramenta de software livre sob os termos da General Public License

(GPL) versão 2, utilizada para criar pesquisas online de uma forma bem rápida e intuitiva. Ela

12https://www.limesurvey.org/

1.7. ESTRUTURA DA DISSERTAÇÃO 24

foi instalada em um servidor com sistema operacional Linux13, com o servidor WEB Apache2.0, linguagem PHP 5 e banco de dados MySQL14.

Paralelamente a coleta dos dados através do questionário foi realizado um levantamentoda infraestrutura de Datacenter em cada um dos cinco Campus e Reitoria do IF Goiano. Esselevantamento serviu para verificar a real situação em relação a posse de ativos de rede, comoServidores e Storages, disponíveis em cada um dos 5 Campus e Reitoria do IF Goiano. Alémdo levantamento dos ativos de rede foi realizado uma análise do percentual de utilização (cargasde trabalho) desses Datacenters. Para a realização deste levantamento foram utilizadas duasferramentas.

Primeiramente foi utilizada a ferramenta OCS Inventory NG15 para fazer o levantamentodo inventário de TI com todas as informações sobre as características técnicas de hardware,como memória, processamento, armazenamento, rede e modelo do fabricante, disponíveisnos servidores e storages hospedados nos Datacenters desses Campus. Essa ferramenta é desoftware livre sob a licença GPL e foi instalada em um servidor Linux que serviu para fazer acoleta e armazenamento das informações disponíveis no Datacenter. Essas informações foramenviadas através da instalação de agentes do OCS Inventory NG nos equipamentos que são osalvos desta pesquisa.

Posteriormente foi utilizada a ferramenta Zabbix16 para fazer o levantamento de métricasrelacionadas ao uso de processamento, armazenamento e cargas de trabalho de utilizaçãodestes servidores. O Zabbix é uma poderosa ferramenta de software livre que serve para o moni-toramento de redes, servidores e aplicações, utilizada para o acompanhamento do desempenhoda performance dos ativos de redes e aplicações hospedados em uma infraestrutura de TI. Oseu funcionamento é baseado na instalação dos agentes zabbix nos equipamentos que serãomonitorados e as informações são enviadas a um servidor com a aplicação Zabbix instalada.

Os dados coletados por estas três ferramentas de software livre utilizadas no levantamentoe monitoramento da infraestrutura de Datacenter dos Campus e Reitoria são de fundamentalimportância para a seção de análise e discussão dos resultados, pois estes dados serviram de basepara saber a atual realidade que os Gestores de TI enfrentam em seus locais de trabalho.

1.7 Estrutura da Dissertação

No Capítulo 1 foi realizada a introdução com os fatos motivadores, evidenciando arelevância e a importância para a produção deste trabalho de pesquisa, apresentando o problemae a proposta que servirá como solução. Em seguida foi apresentada toda a metodologia depesquisa aplicada na coleta dos dados e informações. Neste sentido os próximos capítulos serãodivididos da seguinte maneira:

13https://www.ibm.com/developerworks/br/library/l-linuxuniversal/14https://www.mysql.com/15http://ocsinventory-ng.org/en/16http://www.zabbix.com/

1.7. ESTRUTURA DA DISSERTAÇÃO 25

No Capítulo 2 é apresentado o cenário atual de contratações de Soluções de TI na APF,demonstrando na prática um caso de levantamento de requisitos em um órgão da APF. Logoapós são apresentados os fundamentos teóricos sobre a Computação em Nuvem, tais comosuas características essenciais, modelos de serviço, modelos de implantação e os stakeholders

envolvidos no processo da arquitetura em nuvem. Essa fundamentação teórica servirá dereferência para os próximos capítulos da dissertação.

No Capítulo 3 é apresentada a análise e discussão dos resultados da pesquisa, com ademonstração dos dados que foram coletados para, então, fazer uma avaliação parcial de cadacaso e, posteriormente, essas avaliações serão sintetizadas na discussão dos resultados.

No Capítulo 4 é apresentada a proposta contendo o Catálogo de Boas Práticas a seremseguidas para a adoção da Computação em Nuvem na APF, com o objetivo de prover umainfraestrutura de TI adequada para implantar o sistema PEN no Governo Federal.

No Capítulo 5 são apresentadas as considerações finais, com as conclusões obtidas,contemplando também as possíveis limitações e trabalhos futuros a serem realizados.

262626

2REFERENCIAL TEÓRICO

Este capítulo tem o objetivo de apresentar o atual cenário das contratações de soluçõesde TI na APF e, em especial para atender a implantação do sistema PEN em âmbito nacional.Neste sentido, também será apresentado um projeto contendo o levantamento de requisitos paraa implantação do sistema PEN no Instituto Federal de Brasília (IFB).

Além deste cenário, será apresentado a visão geral sobre a Computação em Nuvem,abordando o seu surgimento, principais definições e características. Além destas característicastambém serão descritos os modelos de serviços e modelos de implantação encontrados naarquitetura de Computação em Nuvem. Após o detalhamento dos modelos, serão relacionadosos papéis dos principais stakeholders envolvidos nesse processo. Neste sentido, será utilizado oestado da arte para o seu desenvolvimento.

2.1 Contratações de Soluções de TI na APF

Atualmente, todo o processo de contratação de soluções de TI tem que se adequar aostrâmites administrativos descritos na Instrução Normativa no 4, de 11 de setembro de 2014. Épor meio desta Instrução Normativa que são elaborados todos os artefatos que fazem parte doprojeto final onde será realizada a licitação das soluções de TI como, ativos de redes, licenças desoftwares, sistemas, aplicativos, dentre outros. O site do governo eletrônico1 disponibiliza todoo processo a ser concretizado nestas contratações. A Figura 2.1 aborda todas as etapas a seremseguidas na Instrução Normativa no 4 de 2014.

As fases para o planejamento da contratação podem ser definidas da seguinte maneira:

� Documento de Oficialização da Demanda (DOD): Neste documento é gerada todasas demandas por soluções de TI que são requisitadas por todos os departamentos deum órgão público federal.

� Instituição da equipe de planejamento da contratação: Nesta fase são escolhidosos integrantes que vão fazer parte da equipe de planejamento, que é composto por:

1http://mcti.governoeletronico.gov.br/PCTI.htm

2.1. CONTRATAÇÕES DE SOLUÇÕES DE TI NA APF 27

Figura 2.1: Processo de Contratação de Soluções de TI na APFFonte: Governo Eletrônico

1) Integrante Administrativo que é indicado pelo responsável da área administrativa;2) Integrante Técnico que é indicado pelo responsável da área de TI; 3) IntegranteRequisitante que é indicado pelo responsável da área requisitante.

� Estudo Técnico Preliminar: O objetivo desta fase é fazer uma análise de mercadobem detalhada sobre a viabilidade técnica e econômica do processo de contratação.

� Análise de Riscos: Esta fase tem o objetivo de garantir a continuidade do negócionos casos em que ocorrer algum tipo de problema, como uma eventual interrupçãocontratual.

� Termo de Referência ou Projeto Básico: Nesta fase é feita a descrição detalhadade toda a solução de TI com a devida justificativa da contratação. No projeto tambémsão definidas as responsabilidades mínimas dos principais participantes de umacontratação que consistem no termo de referência.

Depois de finalizado todo o processo de contratação, o próximo passo é a realizaçãoda licitação de todos os itens detalhados no termo de referência ou projeto básico. A lei quenormatiza as formas de licitações e contratos na APF é a lei no 8.6662, de 21 de 1993, sendoque a modalidade mais utilizada para aquisição de soluções de TI é conhecida como pregãoeletrônico, onde são adquiridos bens e serviços comuns no âmbito da União, com padrões dedesempenho e qualidade definidos por edital.

A licitação é a etapa mais criteriosa e também necessária na contratação de soluções deTI, pois é na licitação que as empresas partícipes podem vir a impugnar um ou vários itens do

2https://www.planalto.gov.br/ccivil_03/Leis/L8666cons.htm

2.2. LEVANTAMENTO DE REQUISITOS PARA O SISTEMA PEN NO INSTITUTOFEDERAL DE BRASÍLIA 28projeto básico, com a justificativa de que o detalhamento técnico de um determinado item estáfavorecendo a uma empresa em específico e, nesse caso todo o processo volta para a fase dotermo de referência para uma nova análise da equipe de TI responsável.

De acordo com as opiniões fornecidas pelos Gestores de TI todo esse processo decontratação de soluções de TI que se inicia com o documento de oficialização da demanda,passando pelas fases da Instrução Normativa no 4 de 2014, até a finalização da licitação utilizandoa modalidade de pregão eletrônico, pode chegar a levar de 12 a 18 meses para sua conclusão,tornando-se assim um processo extremamente burocrático e demorado.

2.2 Levantamento de Requisitos para o Sistema PEN no Ins-tituto Federal de Brasília

Como forma de demonstrar a realidade do cenário de contratações de soluções de TI naAPF foi realizada uma busca em diversos órgãos que estavam em fase de implantação do sistemaPEN. Em fevereiro de 2016 foi realizada uma reunião do CONIF3 em Brasília para discutir oplano de implantação do sistema PEN no IFB com a presença de vários diretores de TI dosinstitutos federais e das universidades federais.

O grupo de trabalho presidido pelo diretor de TI do IFB apresentou um documento4

contendo os requisitos técnicos necessários para a implantação inicial do sistema PEN. Para ummelhor entendimento a Figura 2.2 apresenta uma visão macro da infraestrutura de TI necessáriapara implementar o sistema no âmbito do IFB.

Figura 2.2: Visão Macro da Infraestrutura de TI necessária no IFB

Neste mesmo documento foi apresentado uma planilha de custos com o detalhamentodos itens necessários com um valor estimado de R$ 3.603.520,00 (Três milhões, seiscentos e trêsmil e quinhentos e vinte reais). Na planilha foram apresentados os seguintes itens:

� Firewall;3http://portal.conif.org.br/institucional/o-conif.html4https://github.com/alfredopupak/mestradoufpe/blob/master/Relatorio-PEN.pdf

2.3. HISTÓRICO DA COMPUTAÇÃO EM NUVEM 29

� Storages;

� Licenças Red Hat;

� Licenças VMware;

� Servidores Blade;

� Link MPLS 100 Mbps

Nesta mesma reunião foi levantado vários questionamentos ao diretor de TI do IFBsobre qual metodologia foi utilizada para o cálculo do levantamento de requisitos de toda ainfraestrutura de TI para implantação do sistema PEN. Entretanto, o diretor apenas se prontificouem dizer que ele juntamente com seu grupo de trabalho fizeram esse levantamento e chegaram aessa conclusão sem se basearem em um cálculo ou em uma metodologia específica.

Diante do levantamento de requisitos para o sistema PEN elaborado pelo grupo de tra-balho do IFB fica evidente a possibilidade de ocorrer erros ocasionados por uma falta de metodolo-gia adequada para a elaboração de projetos de soluções de TI na APF. Além desse detalhe aindaexiste a possibilidade de compras de equipamentos de infraestrutura de TI desnecessárias e comerros de dimensionamento.

O cenário atual demonstra quais são os principais empecilhos que podem dificultaras novas contratações de soluções de TI na APF, pois tanto a parte burocrática que exige ocumprimento das fases da Instrução Normativa no 4 de 2014 juntamente com a lei no 8.666/93de licitações e contratos, como nos projetos de infraestrutura de TI que podem estar de algumamaneira mal dimensionados, podem vir a prejudicar ou inviabilizar a implantação do sistemaPEN nos órgãos que ainda não possuem os requisitos de infraestrutura adequados.

Como o objetivo deste trabalho é elaborar um catálogo de boas práticas para contrataçõesde serviços de Computação em Nuvem na APF foi identificado a necessidade de se conhecermais a fundo como é o funcionamento e as características desse novo modelo de computação,e como ele pode vir a impulsionar a implantação do sistema PEN na APF. Como forma dedemonstrar o potencial de inovação da Computação em Nuvem será apresentada uma seção comos principais serviços oferecidos baseado no estado da arte.

2.3 Histórico da Computação em Nuvem

A Computação em Nuvem é uma tecnologia emergente que surge como um novoparadigma da computação, que é capaz de tornar exequível um modelo de computação racional.Esse modelo utiliza a rede para prover serviços de TI sob demanda, que são medidos e pagos deacordo com o consumo (DURAO et al., 2014).

O conceito Computação em Nuvem foi introduzido por volta de 1961, quando opesquisador John McCarthy disse que a "computação algum dia poderia ser organizada como

2.4. DEFINIÇÃO PARA COMPUTAÇÃO EM NUVEM 30

utilidade pública"(GARFINKEL; ABELSON, 1999), como água, energia e telefone. Outropesquisador, conhecido como Douglas Parkhill, também demonstrou as características destenovo modelo de Computação por utilização no ano de 1966, em seu livro "O Desafio paraComputação Utilitária" (PARKHILL, 1966).

Segundo RAJARAMAN (2014) o termo "Nuvem" foi inicialmente utilizado como umametáfora para a Internet no ano de 1997 no Instituto de Tecnologia de Massachusetts (MIT). Jáo termo "Computação em Nuvem" foi pronunciado pela primeira vez pelo executivo chefe daGoogle Eric Schimidt no ano de 2006, em uma conferência de mecanismos de estratégias debuscas do Google, indicando que esse seria um novo modelo de negócio (WILLIS, 2009).

Os serviços de mecanismos de busca na Internet foram as primeiras aplicações imple-mentadas na Nuvem (GIORDANELLI; MASTROIANNI, 2010). As informações eram dispostasao usuário como um serviço sob demanda, onde o mecanismo de busca era executado através daComputação em Nuvem. Os primeiros a fornecerem os mecanismos de busca na Internet foramo Yahoo em 1995 e o Google em 1998 (MOKHTAR et al., 2013).

Ainda de acordo com MOKHTAR et al. (2013) as primeiras aplicações que utilizaramos serviços de "Armazenamento em Nuvem" foram os serviços de e-mail do Hotmail em 1996e Yahoo em 1997. Em 2006 a empresa Sallesforce5 lançou uma forma de executar aplicaçõesde forma remota, através da Internet, dispensando assim a instalação local da aplicação nocomputador pessoal. No mesmo ano a empresa Amazon lança o serviço de armazenamentoe recuperação de dados através da Internet, conhecido como Amazon S36 (Simple StorageService).

No ano de 2008 o termo Computação em Nuvem foi incluido como taxonomia atravésdo Instituto de Engenharia Elétrica e Eletrônica (IEEE) 7 (LIANG-JIE ZHANG, 2008). Apartir desse momento foram realizados uma série de eventos, como congressos, workshops econferências relacionados ao assunto.

De acordo com ISLAM et al. (2012) o termo Computação em Nuvem ganhou populari-dade na indústria de TI por volta de 2009, quando as gigantes Google, Yahoo e Amazon, comograndes provedores de serviço de Internet e a IBM e Microsoft como fornecedores de produtosem TI, apresentaram sua própria estratégia de Computação em Nuvem, onde várias operadorasde telecomunicações propuseram uma grande plataforma de computação em nuvem a um customuito baixo.

2.4 Definição para Computação em Nuvem

O conceito mais amplamente utilizado para Computação em Nuvem e que servirá debase para esta pesquisa, pode ser definido da seguinte maneira pelo Instituto Nacional de Padrões

5http://www.salesforce.com/br/service-cloud/overview/6https://aws.amazon.com/pt/s3/7http://www.ieee.org/about/index.html

2.4. DEFINIÇÃO PARA COMPUTAÇÃO EM NUVEM 31

e Tecnologias (NIST)8 (MELL; GRANCE, 2011):

"Computação em Nuvem é um modelo que permite acesso ubíquo, porconveniência, onde a rede está disponível sob demanda com o acessoao grupo compartilhado de recursos computacionais configuráveis (e.gservidores, armazenamento, redes, aplicações e serviços) que podem serrapidamente provisionados e escalonados com um esforço mínimo por partedo provedor de serviços."

Ressalta-se que a tecnologia que habilita e permite o uso da Computação em Nuvem é aVirtualização (AMEEN; HAMO, 2013), pois oferece um nível de abstração entre o hardware e osoftware, "mascarando" os recursos computacionais dos usuários ou sistemas de TI.

De acordo com KHMELEVSKY; VOYTENKO (2010) a Computação em Nuvem podeser definida como a junção de três importantes tendências da computação: a virtualização, que éa responsável por fazer a abstração dos recursos de hardware; a computação por utilidade, ondeserá cobrado somente pelos serviços que realmente forem consumidos; e o provisionamentode software, onde as aplicações estarão disponíveis através de uma conta de inscrição e serãoutilizadas de acordo com a demanda.

Segundo ALJENAA; AL-ANZI; ALSHAYEJI (2011) a Computação em Nuvem é capazde realizar o provisionamento dos recursos computacionais virtualizados de uma forma dinâmica.Esses recursos contam com a possibilidade de modificações com alto poder de escalabilidade eelasticidade, onde o usuário pagará somente pelo uso que for medido.

Já para DONG et al. (2009) a Computação em Nuvem é definida como um grandecentro de dados distribuídos geograficamente, que pode oferecer serviços de infraestrutura egerenciamento dos recursos de TI. Esses recursos contam com a possibilidade de balanceamentode cargas de trabalho, replicação de imagens de máquinas virtuais e gerenciamento unificado.

Essas definições deixam bastante claro que a Computação em Nuvem tem um grandepoder de escalabilidade, onde os recursos de TI que estão hospedados em provedores de Nuvempodem ser amplamente utilizados pelos usuários de serviços de TI, bastando apenas um disposi-tivo eletrônico e o acesso a Internet para seu uso (ISLAM et al., 2012). A Figura 2.3 demonstrao alto poder de integração das tecnologias em computação com o desenvolvimento de aplicaçõesenvolvendo a Computação em Nuvem baseada na pilha de protocolos TCP/IP.

Na Computação em Nuvem as aplicações não precisam estar instaladas localmente nosequipamentos. Ela mesmo pode oferecer os aplicativos que fornecerão ao usuário a experiênciade enviar e-mails, editar documentos, armazenar arquivos, assistir a vídeos, editar imagens,acessar agendas, dentre outros, bastando apenas que o dispositivo esteja conectado a Internetpara o seu acesso.

8http://www.nist.gov/

2.5. CARACTERÍSTICAS ESSENCIAIS DA COMPUTAÇÃO EM NUVEM 32

Figura 2.3: Computação em NuvemFonte: ISLAM et al. (2012)

2.5 Características Essenciais da Computação em Nuvem

A Computação em Nuvem possui características que proporcionam diversos tipos debenefícios. Estes são amplamente utilizados pelas organizações devido as suas vantagens(CHHABRA; DIXIT, 2015). Dentre essas características MELL; GRANCE (2011) cita as 5principais que são conhecidas como características essenciais:

2.5.1 Serviço sob demanda

Nessa característica o usuário pode provisionar recursos adicionais de computação comoarmazenamento, poder de processamento e quantidade de memória de uma forma automática,sem nenhum tipo de intervenção humana. Esses recursos são auto-configuráveis e escalonáveisde acordo com a necessidade de cada usuário. Os recursos computacionais serão alocados deacordo com a necessidade de uma organização com a possibilidade de configuração de um grandepool de recursos disponíveis a essa organização.

2.5.2 Elasticidade rápida

Na elasticidade rápida os recursos podem ser elasticamente provisionados de uma formabem rápida e dinâmica, tanto na forma de diminuir os recursos computacionais como na formade aumentá-los de acordo com a demanda. Para os usuários esses recursos de provisionamentopodem parecer ilimitados. O provisionamento dos recursos computacionais pode ser feito deforma automatizada, sem a necessidade da intervenção humana.

2.5.3 Amplo acesso a rede

Essa característica possibilita aos diversos tipos de dispositivos de tecnologia da in-formação como: tablets, smartphones, notebooks, estações de trabalho e celulares o acesso eutilização dos recursos advindos da infraestrutura de Computação em Nuvem. As aplicações

2.6. MODELOS DE SERVIÇO PARA COMPUTAÇÃO EM NUVEM 33

que são desenvolvidas para os clientes, que são os consumidores finais, devem estar disponíveismesmo em ambientes totalmente heterogêneos.

2.5.4 Serviços confiáveis

A confiabilidade na Computação em Nuvem é bem maior do que o modelo tradicionalde computação devido ao fato de disponibilizar diversos provedores de serviços de Nuvemespalhados ao redor do mundo. Esses provedores garantem o serviço contínuo mesmo quandoocorrer a queda de um serviço em um provedor, com a possibilidade de fazer o redirecionamentoda solicitação desse usuário a outro provedor disponível. Na Computação em Nuvem a confiabi-lidade pode ser obtida através da utilização de vários sites em redundância, que é o adequadopara a continuidade dos negócios e na recuperação de desastres.

2.5.5 Serviços Medidos

Existem métricas que são aplicadas para fazer a medição dos serviços na Computaçãoem Nuvem. Os recursos computacionais como horas de processamento na unidade central deprocessamento CPU, quantidade de dados que são armazenados em um STORAGE, uso debanda de um link, dentre outros, são constantemente monitorados para que o resultado sejaextraído de acordo com a medição realizada. Apesar da infraestrutura de Computação emNuvem compartilhar seus recursos computacionais com os mais diversos tipos de clientes econsumidores, ela também é capaz de fazer a medição do uso de todos esses recursos que sãodisponibilizados aos seus clientes finais.

2.6 Modelos de Serviço para Computação em Nuvem

Antes de falar sobre os modelos de serviços é importante salientar que a Computação emNuvem utiliza o modelo de tarifação na Internet conhecido como pay-per-use ou pague pelo uso.Segundo BUYYA; BROBERG; GOSCINSKI (2010) esse modelo de pay-per-use é caracterizadopor uma grande variedade de aplicações que é fornecida aos clientes como serviço através daInternet, medidos e cobrados de acordo com a utilização. Essas aplicações estão hospedadas emprovedores de Nuvens de grandes Datacenters.

A Computação em Nuvem tem a capacidade de oferecer diversos tipos de serviços quepodem estar disponíveis a um usuário, ou a uma empresa, ou ainda a uma grande corporaçãoenvolvendo várias empresas. Esses serviços prestados podem ser categorizados em três principaismodelos de serviços (MELL; GRANCE, 2011): Infraestrutura como Serviço (IaaS); Softwarecomo Serviço (SaaS); e Plataforma como Serviço (PaaS).


2.6.1 Infraestrutura como Serviço - IaaS

Na IaaS os provedores de Nuvem vão disponibilizar uma infraestrutura de TI como self-

service para as organizações, onde o termo self-service é utilizado em um contexto de sirva-se avontade ou ainda sirva-se de acordo com o gosto, onde cada cliente pode gerenciar e executarde forma privilegiada as tarefas do sistema em suas próprias instâncias de máquinas virtuais,proporcionando assim flexibilidade (BUTT et al., 2012). Essas organizações poderão utilizaressa infraestrutura e pagar somente pelo uso de acordo com a demanda de um determinadomomento.

No modelo de Infraestrutura como Serviço (IaaS) será fornecido aos usuários o controletotal sobre o instanciamento das máquinas virtuais. O usuário poderá fazer o provisionamento daquantidade de CPU, de memória RAM, capacidade de armazenamento, além de fazer a escolhado sistema operacional, ou seja, o usuário tem a possibilidade de configurar a máquina virtual deacordo com a sua necessidade (GAJBHIYE; SHRIVASTVA, 2014). São exemplos de IaaS oAmazon Web Services9, OpenStack10 e Eucalyptus11.

De acordo com MELL; GRANCE (2011) na Infraestrutura como Serviço os usuáriosterão acesso aos recursos da infraestrutura de computação através da Internet, podendo utilizardesde o espaço de armazenamento, recursos de redes, poder de processamento e de memóriaRAM, dentre outros, além de ter a possibilidade de executar vários tipos de sistemas operacionaise aplicações. O consumidor terá o controle total do gerenciamento dessa infraestrutura e pagarásomente pelo seu uso.

A tecnologia de virtualização nos Datacenters é a que permitirá o provisionamento doseu enorme poder computacional, oferecendo os recursos de infraestrutura como armazenamento,rede e processamento, de uma forma dinâmica e que serão entregues sob demanda aos consu-midores. Estes consumidores podem dimensionar os recursos computacionais tanto para cimaquanto para baixo, sem a necessidade de saber o que realmente existe na infraestrutura física doDatacenter (TSAI; SUN; BALASOORIYA, 2010).

2.6.2 Plataforma como Serviço - PaaS

Nesse modelo de serviço será oferecido um ambiente com uma plataforma de desenvolvi-mento de aplicações aos usuários que utilizam esse tipo de serviço. O Google App Engine12, oMicrosoft Azure13 e o Amazon Map Reduce14 são exemplos de PaaS.

Segundo SMITH (2011) no PaaS é disponibilizada uma infraestrutura de Nuvem com umaplataforma de desenvolvimento de software que possibilita a criação e implantação de aplicações

9https://aws.amazon.com/pt/10https://www.openstack.org/11http://www8.hp.com/br/pt/cloud/helion-eucalyptus-overview.html12https://cloud.google.com/appengine/13https://azure.microsoft.com/pt-br/14https://aws.amazon.com/pt/elasticmapreduce/


que são dispostas como um serviço para o consumidor. Nesse modelo serão fornecidos SistemasGerenciadores de Banco de Dados, linguagens de programação, produtos de portal, processos denegócios e servidores de aplicação.

No modelo de Plataforma como Serviço os consumidores terão acesso através do prove-dor de Nuvem a um conjunto de ferramentas que possibilitarão a configuração de um ambientede desenvolvimento e implantação de aplicações. Essas configurações podem ser a escolha dalinguagem de programação ou de um banco de dados, porém esses consumidores não terãoacesso aos recursos como servidores, rede, processamento e sistemas operacionais fornecidospelo provedor de Nuvem (PUTHAL et al., 2015).

De acordo com MELL; GRANCE (2011) o modelo de PaaS vai proporcionar um ambi-ente com uma plataforma de nuvem que oferece aos desenvolvedores a possibilidade de criar,codificar e implantar os mais diversos tipos de aplicações da computação, e esses serviços eaplicações serão executados sobre essa plataforma sem a necessidade de se preocupar com ainfraestrutura de nuvem que vai prover esse serviço.

2.6.3 Software como Serviço - SaaS

No modelo de Software como Serviço (SaaS) ao invés dos usuários comprarem umachave de licença de software para ser instalada no sistema, o provedor de serviços de Nuvem iráfornecer uma forma de locação, ou taxa de inscrição, pelo uso do software. Esse modelo permiteo benefício de atualização centralizada, sem a necessidade de instalação de patchs e controles deversão. Um dos exemplos de SaaS seria o Google Docs15 e o Salesforce16.

Segundo o Instituto Nacional de Padrões e Tecnologias (NIST) MELL; GRANCE (2011)o Software como Serviço:

"Tem a capacidade de fornecer ao consumidor o uso dos provedores deaplicações rodando sob uma infraestrutura de Nuvem. Essas aplicaçõessão acessíveis aos clientes a partir de vários dispositivos através de umainterface de cliente simples, como um navegador Web (por exemplo ume-mail baseado na Web) ou uma interface de programa. O consumidornão gerencia ou controla a infraestrutura de Nuvem subjacente, incluindorede, servidores, sistemas operacionais, armazenamento, ou até mesmorecursos de aplicações individuais, com a possível exceção de configuraçãode aplicativos específicos de usuário de uma forma limitada."

Para BELAHCEN; ABIK; AJHOUN (2012) no SaaS qualquer dispositivo de computaçãocom requisitos mínimos de hardware, como celulares e smartphones, é capaz de obter sucessousando um software hospedado na Nuvem. Além desse benefício existe a possibilidade deinstalação de novos softwares com maior facilidade e flexibilidade, sem a necessidade de queseja instalado fisicamente o software no equipamento, ou ainda que sejam feitas as atualizações

15https://docs.google.com/16http://www.salesforce.com


de máquina por máquina. Esse modelo se diferencia do tradicional pelo motivo de que opagamento é feito somente pelo uso do software e não na instalação de uma chave de licença porequipamento.

De acordo com TSAI; SUN; BALASOORIYA (2010) no SaaS o software é apresen-tado aos usuários como um serviço sob demanda e fornece a integração com outros tipos deaplicações com uma grande facilidade. Esse software geralmente é acessado por um navegadore compartilhado por vários usuários através de Provedores de Serviços de Nuvem espalhadospelo mundo. Os recursos adicionais podem ser solicitados sob demanda sem a necessidade deaquisição de licenças e as atualizações são feitas de forma automática dispensando a intervençãohumana.

No SaaS não existe a necessidade especifica de um hardware para a execução do software.Esses serviços ou softwares são acessados através da Internet com as aplicações que estão sobrea infraestrutura dos Provedores de Nuvem. Este modelo de serviço é pago pelo uso e possui umgrande poder de escalabilidade para novas requisições dos consumidores, além de possuir umnível a mais de segurança fornecendo maior confiabilidade (MOLLAH; ISLAM, 2012).

Os três principais modelos de serviços citados por MELL; GRANCE (2011) são utiliza-dos por consumidores de serviços hospedados em Provedores de Nuvem e estão de acordo coma especificidade de cada demanda. A Figura 2.4 ilustra o perfil dos consumidores de Nuvem deacordo com as suas características.

Figura 2.4: Consumidores de Serviços em NuvemFonte: MELL; GRANCE (2011)

2.7. MODELOS DE IMPLANTAÇÃO PARA COMPUTAÇÃO EM NUVEM 37

Os consumidores do modelo de IaaS fazem o uso de serviços e aplicações que incluemarmazenamento de dados, gerenciamento dos recursos computacionais, backup e recuperação dedesastres em sites e configuração de máquinas virtuais.

Para os consumidores do modelo de PaaS são oferecidos serviços como plataforma deteste e desenvolvimento de software, implantação de aplicações, gerenciamento de bancos dedados e integração entre aplicações distintas.

Já os consumidores do modelo de SaaS utilizam softwares de gerenciamento de documen-tos, aplicações de e-mail e escritório, redes sociais, gerenciamento de conteúdo, gerenciamentode recursos humanos e softwares de controle financeiro.

2.7 Modelos de Implantação para Computação em Nuvem

De acordo com BUYYA; BROBERG; GOSCINSKI (2010) os modelos de implantaçãona Computação em Nuvem podem variar de acordo com a sua localidade e distribuição física,podendo também definir os níveis de acesso aos usuários. Existem quatro tipos principais demodelos de implantação para Computação em Nuvem: 1) Nuvem Privada; 2) Nuvem Pública; 3)Nuvem Comunitária; e 4) Nuvem Híbrida (MELL; GRANCE, 2011).

2.7.1 Nuvem Privada

Neste modelo de implantação o provisionamento dos recursos da infraestrutura com-putacional serão restritos e exclusivamente de uma determinada organização em particular. Ainfraestrutura de nuvem será de propriedade da própria organização ou de uma empresa tercei-rizada e o seu gerenciamento e operação podem ser feitos pela própria organização ou tambémpor uma empresa terceirizada (POLASH; ABUHUSSEIN; SHIVA, 2014).

Segundo BELAHCEN; ABIK; AJHOUN (2012) a Nuvem Privada é projetada para oacesso de um número limitado de usuários (ex: professores, alunos, tutores) através de umainfraestrutura de redes seguras e essa infraestrutura pode ser gerenciada pelo cliente ou ainda porum provedor de Nuvem confiável. O objetivo da implementação da Nuvem Privada é virtualizara infraestrutura interna para disponibilizar de forma mais simples e rápida os serviços de TI aosseus clientes.

Já para ALJENAA; AL-ANZI; ALSHAYEJI (2011) a Nuvem Privada parte da premissaque a infraestrutura computacional tem que ser de propriedade da própria organização ou de umprovedor e estar disponível através de redes seguras protegidas por um firewall. Essa segurançavai permitir que os provedores e usuários finais tenham mais controle sob a infraestrutura deNuvem e com os processos que são gerenciados pela organização.


2.7.2 Nuvem Pública

No modelo de implantação de Nuvem Pública todos os serviços oferecidos pelos Prove-dores de Nuvem são disponibilizados para as pessoas em geral, sem nenhum tipo de restriçãoe apenas com a contrapartida de que o pagamento seja feito de acordo com o uso durante autilização do serviço. O provedor de serviços será o responsável pelo gerenciamento e instalaçãoda infraestrutura de Nuvem (JADEJA; MODI, 2012).

De acordo com MARSTON et al. (2011) a Nuvem Pública é uma solução para implantarsoluções de TI com baixo custo. Esse modelo é caracterizado principalmente por estar disponívelao público em geral através de provedores de serviços de Nuvem hospedados em empresasterceirizadas. O Google Apps17 é um exemplo clássico de Nuvem Pública utilizado por váriasorganizações e clientes.

O modelo de Nuvem Pública reserva um espaço virtual exclusivo para cada usuário eestá disponível para o público em geral. O usuário pode se beneficiar dos serviços oferecidospela infraestrutura de Nuvem Pública bastando apenas que ele pague de acordo com o tempo deutilização. Os serviços disponibilizados por essa infraestrutura são de propriedade de empresasterceirizadas e são mantidos e gerenciados por grandes Datacenters (GAJBHIYE; SHRIVASTVA,2014).

2.7.3 Nuvem Comunitária

Este modelo de implantação é aplicado quando os serviços de tecnologia da informaçãosão compartilhados por todos em uma comunidade que envolva várias organizações e quepossuam interesses em comum como: políticas, objetivos e missões. A infraestrutura de NuvemComunitária pode ficar dentro de uma das organizações da comunidade, ou pode ser hospedadapor prestadores de serviços terceirizados (JADEJA; MODI, 2012).

De acordo com DILLON; WU; CHANG (2010) uma Nuvem Comunitária é compostapor várias organizações onde são compartilhadas as mesmas preocupações de valores, ética,políticas e requisitos funcionais. Essas organizações compartilham de uma mesma infraestruturade Nuvem que oferece um alto grau de escalabilidade econômica e utiliza a democracia comoforma de manter o equilíbrio entre si. A infraestrutura pode ser mantida por terceiros ou por umadas organizações que fazem parte da comunidade.

2.7.4 Nuvem Híbrida

Como o próprio nome sugere, esse modelo de implantação faz a combinação de duas oumais infraestruturas de nuvens distintas (privada, comunitária, ou pública) que permanecem comouma única entidade. Os participantes dessa infraestrutura de Nuvem estão unidos por tecnologiaspadronizadas que permitem a portabilidade de aplicações entre eles (MELL; GRANCE, 2011).

17https://apps.google.com/


De acordo com CHOU (2015) a Nuvem Híbrida é o serviço que conta com a colaboraçãoda Nuvem Pública com a Nuvem Privada e com as opções de uma Nuvem Comunitária. Estemodelo é baseado nas necessidades corporativas como estratégia, segurança e confidencialidade,onde as organizações podem alocar as cargas de trabalho em infraestruturas de Nuvem separadas.Um exemplo seria a utilização de uma Nuvem Pública para enviar dados e uma Nuvem Privadapara um ambiente de desenvolvimento de aplicações.

Atualmente esse tipo de Nuvem é amplamente utilizado por organizações que desejamminerar os dados sensíveis a partir dos dados não sensíveis. Um exemplo tipico seria a utilizaçãode uma Nuvem Privada para a manutenção de um banco de dados com informações confidenciais,e as demais informações não confidenciais seriam mantidas pela Nuvem Pública (CHHABRA;DIXIT, 2015).

Uma forma de demonstrar às organizações e clientes todas as características e modelosencontrados na Computação em Nuvem é apresentando uma visão geral desse novo paradigmada computação. A Figura 2.5 ilustra essa visão geral.

Figura 2.5: Visão Geral da Computação em NuvemFonte: WIND (2011)

Esta figura evidencia a categorização da Computação em Nuvem como uma nova formade disponibilizar o provisionamento de recursos computacionais que são entregues aos con-sumidores finais como um tipo de serviço. Esses serviços são disponibilizados na forma deinfraestrutura, plataforma ou software (AHMADIPOUR et al., 2012).

Estes serviços podem ser implantados e gerenciados dentro da própria organizaçãocom sua própria infraestrutura de TI, ou ainda podem ser implantados dentro de uma empresaterceirizada e ter o gerenciamento feito pela própria organização ou pela terceirizada e, porúltimo, existe a possibilidade da combinação de duas infraestruturas de Nuvens distintas como

2.8. STAKEHOLDERS NA COMPUTAÇÃO EM NUVEM 40

uma privada e outra pública (SMITHA; THOMAS; CHITHARANJAN, 2012).Segundo MELL; GRANCE (2011) esse novo paradigma da computação utiliza a Internet

para habilitar suas características essenciais. A Computação em Nuvem permite um amploacesso a rede, serviços de computação sob demanda, rápida elasticidade, serviços medidos, eacesso a um grande pool de recursos computacionais, como armazenamento, processamento ememória.

2.8 Stakeholders na Computação em Nuvem

De acordo com KULKARNI (2008) o stakeholder pode ser uma pessoa, equipe ouorganização que possuem interesses e preocupações relacionados a um sistema. A necessidadedos stakeholders é o requisito funcional mais importante das partes interessadas para explorarcaracterísticas como eficiência, usabilidade, confiabilidade e desempenho. Recentemente foidesenvolvida uma taxonomia que atribui os papéis e responsabilidades de cada entidade envolvidano processo de Computação em Nuvem. Segundo MELL; GRANCE (2011) os cinco principaisenvolvidos são: 1) Cloud Consumer; 2) Cloud Provider; 3) Cloud Auditor; 4) Cloud Broker; e 5)Cloud Carrier.

2.8.1 Cloud Consumer

Os usuários ou organizações que utilizam os serviços oferecidos pela infraestrutura deum provedor de Nuvem são conhecidos como "Cloud Consumers". Esses clientes procuram osmais diversos tipos de serviços disponíveis nos provedores de Nuvem e, a partir dessa escolhaestabelecem um acordo de nível de serviço (SLA) como forma de garantir que os serviços serãoentregues de forma adequada (GAJBHIYE; SHRIVASTVA, 2014).

De acordo com LEHRIG; EIKERLING; BECKER (2015) os Cloud Consumers tem aliberdade de fazer a escolha e solicitação dos serviços que são disponibilizados pelos provedoresde Nuvem. Esses serviços são negociados de acordo com as condições dos provedores disponíveisnos objetivos de níveis de serviços (SLO).

2.8.2 Cloud Provider

Segundo THAKORE; WEAVER; SANDERS (2013) um Cloud Provider é o propri-etário e fornecedor da infraestrutura física dos recursos computacionais de um provedor. Essainfraestrutura é a responsável por fornecer os serviços prestados pelo provedor de Nuvem, comosoftware, plataforma e recursos de hardware. Esse provedor não tem o controle sobre os dadosou aplicações que estão sendo executados através de seus serviços.

O Cloud Provider é o principal responsável por tornar disponível uma infraestruturatécnica necessária para o fornecimento dos serviços de tecnologia como recursos de software,plataformas de desenvolvimento e gerenciamento de infraestrutura dos recursos computacionais.

2.8. STAKEHOLDERS NA COMPUTAÇÃO EM NUVEM 41

Esses serviços são provisionados e entregues aos consumidores de Nuvem de acordo com otermo de nível de serviço (SLA). Esse termo é a principal garantia da privacidade dos dados e asegurança dos serviços prestados (MELL; GRANCE, 2011).

2.8.3 Cloud Auditor

De acordo com RAJ; SARFARAZ; SINGH (2014) o Cloud Auditor é uma pessoa ouempresa que é responsável por fazer o acompanhamento e avaliação dos serviços em Nuvem.Eles trabalham para realizar uma auditoria bem detalhada dos recursos computacionais que estãono termo de acordo de serviço, como performance da velocidade, segurança dos dados, e custoscom implementações de aplicações em Nuvem.

O papel do Cloud Auditor é fazer o acompanhamento dos requisitos como desempenho,privacidade e controle de segurança sobre os serviços que são prestados por um provedor deNuvem. Essas pessoas vão realizar uma auditoria para verificar se os serviços estão funcionandocomo o desejado e se estão alcançando os resultados esperados em relação ao cumprimento dosrequisitos de segurança para os sistemas BOHN et al. (2011).

2.8.4 Cloud Broker

De acordo com CHHABRA; DIXIT (2015) o papel do Cloud Broker é fazer a intermedi-ação ou negociação entre os clientes e os provedores de serviços de Nuvem. A parte técnica deum serviço de Nuvem pode ser bastante complexa a um usuário com conhecimentos limitados eminformática. A principal atribuição desses corretores é facilitar o gerenciamento desses serviçosfornecidos por vários provedores através de uma única interface de gerenciamento amigável.

O Cloud Broker pode ser um individuo ou organização que atua como negociador entreos consumidores e os provedores de Nuvem. Esses corretores realizam o serviço de integraçãode diferentes prestadores de serviços e fornece aos consumidores a facilidade de gerenciamentoe compatibilidade entre os provedores de Nuvem (GAJBHIYE; SHRIVASTVA, 2014).

2.8.5 Cloud Carrier

A entidade Cloud Carrier vai atuar como o intermediária responsável por fornecer aconectividade e o transporte dos serviços entre os consumidores de Nuvem e os provedores de Nu-vem. Eles vão providenciar o acesso desses consumidores através de redes de telecomunicaçõese outros equipamentos de acesso a rede (MELL; GRANCE, 2011).

De acordo com AMANATULLAH et al. (2013) o papel do Cloud Carrier é possibilitaro transporte físico da conectividade entre os provedores de Nuvem e consumidores de Nuvem.Essa conectividade entre os envolvidos só vai ser possível através de um bom provedor deInternet, que irá garantir a concretização das metas propostas.

2.9. RESUMO DO CAPÍTULO 42

2.9 Resumo do Capítulo

Este capítulo abordou o atual cenário de contratações de soluções de TI na APF. Alémdo cenário de contratações foi apresentado todo o referencial teórico com o estudo do estado daarte da Computação em Nuvem. Nele foram abordados as características essenciais, modelos deserviços, modelos de implantação e papeis dos principais stakeholders envolvidos nesse novoparadigma da computação. Essa abordagem servirá de base para a discussão dos resultados nospróximos capítulos.

O próximo capítulo vai apresentar a análise e interpretação dos resultados, apresentandoos resultados obtidos, as técnicas e ferramentas aplicadas na coleta de dados e, a forma como foirealizado o tratamento dos dados.

434343

3ANÁLISE E INTERPRETAÇÃO DOS RE-SULTADOS

Nesta seção apresenta-se uma leitura criteriosa dos dados coletados por meio das ferra-mentas e questionários aplicados aos Gestores de TI que atuam na APF lotados no IF Goiano,seguido da análise dos resultados obtidos. Finalmente, considerando toda a pesquisa feita como estudo exploratório da literatura e os resultados obtidos, foi elaborada uma proposta com aapresentação do Catálogo de Boas Práticas para a adoção da Computação em Nuvem na APF,com o objetivo de prover uma infraestrutura de TI adequada na implantação do sistema PEN dosdiversos órgãos do Governo Federal.

Os critérios para elaboração do questionário foram baseados em um esforço conjuntodo autor da pesquisa juntamente com seu orientador, que contam com uma vasta experiênciaprofissional, sendo que o autor já atua a quinze anos na área de TI, onde seis desses anos sãovoltados para atribuições na área de Gestão de TI. Já o orientador possui uma vasta experiênciade pesquisa na área de Ciência da Computação, além de atuar como consultor e outras atribuiçõesrelevantes em várias empresas de TI.

O questionário com dezesseis perguntas semi-estruturadas disponível para consulta noApêndice A, foi aplicado aos seis Gestores de TI lotados no IF Goiano e obteve-se a respostade todos. O referido questionário foi aplicado de forma sigilosa, ou seja, sem a identificaçãonominal do participante.

As questões foram divididas em quatro seções: 1) Perfil dos participantes; 2) Aplicabi-lidade da Governança de TI; 3) Projetos de aquisição de ativos de rede e licenças de software;e 4) Utilização da Infraestrutura de Datacenter na APF. Estas quatro seções foram estrategica-mente escolhidas para identificarem as dificuldades reais enfrentadas pelos Gestores de TI paraconcretizarem novos projetos de soluções de TI.

Na aplicação do questionário, foi utilizada a ferramenta LimeSurvey, que possibilitou oenvio do link de acesso ao referido questionário aos Gestores, por meio do seu e-mail. Dessaforma, ao responder o questionário, o entrevistado já disponibilizava as respostas de formaautomática ao autor.

44

Além da aplicação do questionário online foram realizadas três webconferências com oobjetivo de discutir e agregar as opiniões dos Gestores de TI em relação as respostas apresentadasno survey. Foi através do consenso dessas opiniões é que foi tomada a decisão para a escolhados critérios que seriam adotados na elaboração do Catálogo de Boas Práticas.

3.0.1 Caracterização do Instituto Federal Goiano

As Instituições que formam hoje a Rede Federal de Educação Profissional, Científicae Tecnológica são originárias das 19 escolas de aprendizes artífices instituídas por um decretopresidencial de 1909, assinado pelo então presidente Nilo Peçanha. Essas escolas, inicialmentesubordinadas ao Ministério dos Negócios da Agricultura, Indústria e Comércio, são transferidasem 1930 para a supervisão do Ministério da Educação e Saúde Pública. Sete anos depois, sãotransformadas nos Liceus Industriais. Um ano após o ensino profissional ser considerado denível médio, em 1942, os liceus passam a se chamar escolas industriais e técnicas e em 1959,escolas técnicas federais – configuradas como autarquias.

Ao longo desse tempo, constitui-se uma rede de escolas agrícolas – as Escolas Agrotéc-nicas Federais. Esse ensino técnico teve ênfase numa época em que o Brasil, em franco desen-volvimento agrícola e industrial, necessitava ampliar seu contingente de mão de obra técnicaespecializada. Logo a Educação Profissional e Tecnológica assumiu valor estratégico para odesenvolvimento nacional resultante das transformações das últimas décadas.

Na mais recente dessas transformações nasce o Instituto Federal Goiano (IF Goiano),criado por meio da Lei 11.892, de 29 de dezembro de 20081, juntamente com outros 37 InstitutosFederais de Educação, Ciência e Tecnologia. As novas instituições são fruto do reordenamentoe da expansão da Rede Federal de Educação Profissional e Tecnológica, iniciados em abril de2005.

3.0.2 Perfil dos Participantes Envolvidos na Pesquisa

Nesta seção analisam-se os dados coletados na pesquisa que foi enviada ao e-mail decada participante, realizada no período entre 04 de janeiro de 2016 e 25 de janeiro de 2016, ondeos participantes informaram os dados gerais de seus perfis profissionais nas organizações em quetrabalham. No primeiro momento analisam-se os dados coletados a fim de identificar o perfil dosprofissionais participantes.

De acordo com os dados todos os profissionais envolvidos nesta pesquisa tem a formaçãorelacionada com a área de conhecimento de Ciência da Computação de acordo com a avaliaçãoelaborada pela Capes2. Portanto isso certifica que estes profissionais estão preparados e tem oconhecimento técnico desejável para contribuírem com o sucesso deste trabalho de pesquisa. Ográfico da Figura 3.1 demonstra a formação de cada um dos participantes envolvidos na pesquisa.

1https://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11892.htm2http://www.capes.gov.br/avaliacao/instrumentos-de-apoio/tabela-de-areas-do-conhecimento-avaliacao

45

Figura 3.1: Área de formação dos participantes

O participante C é formando em Engenharia da Computação, os participantes B, A eF tem a formação em Sistemas da Informação e os participantes D e E tem a formação emProcessamento de Dados. Estes dados também são importantes para a garantir a confiabilidadeda metodologia adotada com a opinião de especialistas em TI, onde todos tem que ser peritos noassunto abordado nesta pesquisa que, no caso deste trabalho está relacionado a Gestão de TI.

Outro detalhe importante que foi analisado esta relacionado ao cargo de gestão em TIque estes profissionais estão exercendo em seus locais de trabalho. O gráfico da Figura 3.2 ilustrao cargo que cada um dos participantes ocupa na APF.

Figura 3.2: Cargos dos profissionais

A maioria expressa por 50% dos profissionais ocupa o cargo de Gerente de TI, enquanto33,3% ocupam o cargo de Diretor de TI e somente 16,7% ocupam o cargo de Coordenador deTI. Isso demonstra que a totalidade das respostas registradas foi dada por servidores públicosfederais que ocupam cargos estratégicos e de grande relevância na APF.

Em relação ao tempo de serviço que esses profissionais desempenham nas suas funções

46

como Gestores de TI, os participantes A e C atuam a seis anos ou mais, os participantes B e Eatuam a cinco anos e o participante D atua a dois anos nessa função. O gráfico da Figura 3.3apresenta o tempo de serviço que cada um exerce nas atribuições de gestão em TI da APF.

Figura 3.3: Tempo de serviço no cargo de Gestão em TI

O gráfico demonstra que a maioria, quatro destes Gestores de TI, atua a cinco anos oumais na Gestão de seus órgãos na APF e somente um deles atua a dois anos no cargo. Isso deixaclaro que todos já possuem o conhecimento relacionado às principais atribuições e competênciasexigidas neste cargo de gestão estratégica ocupado na APF.

3.0.3 Aplicabilidade da Governança de TI

Nesta seção o objetivo foi demonstrar o grau de conhecimento e a aplicabilidade daGovernança de TI nos órgãos da APF de acordo com a visão dos Gestores de TI. Segundo oInformation Technology Governance Institute (ITGI)3:

“A Governança de TI é de responsabilidade dos executivos e da alta direção,consistindo em aspectos de liderança, estrutura organizacional e proces-sos que garantam que a área de TI da organização suporte e aprimore osobjetivos e as estratégias da organização.”

Em relação a aplicabilidade da Governança de TI nos órgãos da APF a maioria dosGestores respondeu que se aplica apenas de forma parcial a Governança em seus locais detrabalho. A Figura 3.4 ilustra o percentual de aplicabilidade da Governança de TI nos campus ereitoria do IF Goiano.

A maioria, 83,3% dos Gestores, respondeu que se aplica parcialmente a Governança deTI, enquanto 16,7% disse que não se aplica a Governança de TI em seu Campus. A respostaque os cinco participantes deram justificando a não aplicabilidade total da Governança de TInos seus locais de trabalho foi devido ao fato deles terem que se desdobrar em várias outras

3http://www.isaca.org/itgi/Pages/default.aspx

47

Figura 3.4: Aplicabilidade da Governança de TI

atribuições pertinentes ao cargo de TI, como o de Analista de TI, por exemplo, deixando a desejarnos principais papéis de suas atribuições, que são a de planejamento e governança. O outroparticipante disse que não se aplica por falta de comunicação e alinhamento com a alta direção.

Em relação a expectativa da força de trabalho disponível aos Gestores de TI, que éformada pelos integrantes Analistas e Técnicos de TI da equipe responsável pela execuçãodos serviços de TI nos Campus e Reitoria, foi realizado o questionamento se a equipe tem acapacidade de atender as demandas dentro do prazo planejado. A Figura 3.5 demonstra o estadoatual da força de trabalho que cada Gestor dispõe para executar as mais diversas demandas de TI.

Figura 3.5: Força de trabalho da equipe de TI

O cenário é bem complicado em relação a força de trabalho disponível aos Gestores de TIpara o atendimento das demandas. Apenas 50% disseram que a equipe é parcialmente completae que podem atender parcialmente as expectativas na maioria das vezes, 33,3% responderam quea equipe de TI é totalmente incompleta e que falta muito para atender as expectativas e os 16,7%disseram que a equipe de TI está um caos e que será necessário uma reformulação geral paraatender o mínimo das expectativas. Isso evidencia uma grande carência por profissionais de TI eessa deficiência pode impactar negativamente na qualidade da prestação de serviços de TI daAPF.

48

Com o objetivo de descobrir quais são os principais motivos que impedem a execução denovos projetos de soluções de TI na APF, foram selecionadas as cinco situações mais comunsque podem causar o cancelamento ou o adiamento da execução destes projetos. A Figura 3.6demonstra estes impedimentos, que podem ser: Restrição Orçamentária, Planejamento daContratação, Falta de apoio da alta direção, Levantamento da Demanda e Processo Burocrático.

Figura 3.6: Impedimentos nas contratações de soluções de TI na APF

Todos os Gestores de TI 100% afirmaram que uma das causas tem haver com a restriçãoorçamentária imposta pelo Governo Federal causada principalmente pela geração de cortes noorçamento público ao longo do ano. Além do consenso geral em relação ao orçamento, elestambém foram unânimes em dizer que o processo de contratação de soluções de TI na APF ébastante burocrático exigindo, na maioria das vezes, mais de um ano para sua finalização entre asetapas de planejamento e licitação dos projetos. Os outros 50% afirmaram que o planejamentoda contratação também é muito trabalhoso e complexo devido a exigência do cumprimentodas etapas de construção do processo de contratação de soluções de TI, com a elaboração dosartefatos impostos pela Instrução Normativa no 4 de 2014. Já o motivo de levantamento dademanda teve consentimento de 33.3% dos participantes, com a justificativa de que nem todosos usuários que participam da elaboração do documento de oficialização da demanda tem osconhecimentos técnicos desejáveis para realizarem tal tarefa. Por último os 16,7% justificaram afalta de vontade ou apoio da alta direção para execução desses novos projetos de TI na APF.

3.0.4 Projetos de Aquisição de Ativos de Rede e Licenças de Software

Com a terceira seção da pesquisa buscou-se conhecer a realidade dos trâmites internosque envolvem os processos de compras e aquisição de ativos de rede e licenças de softwarena APF. Além desses detalhes foram analisados os serviços prestados pela equipe de TI como desenvolvimento de aplicações no IF Goiano. Foram obtidas informações como o tempolevado durante todo o processo, que vai desde o planejamento até a finalização com a licitação eaquisição desses recursos de TI.

Foi feito o questionamento aos Gestores de TI de quando surge novas demandas na APFpor ativos de rede, qual é o tempo médio que se gasta desde a elaboração e planejamento do

49

projeto até sua aquisição depois do sucesso nas licitações. A Figura 3.7 aborda o tempo médiogasto para adquirir novos ativos de rede para a infraestrutura de TI.

Figura 3.7: Tempo médio gasto para aquisição de Ativos de Rede na APF

A maioria com cinco participantes respondeu que se leva de doze a dezessete meses paraa finalização do processo de contratação de ativos de rede e apenas um participante respondeuque demora de seis a onze meses para o sucesso na aquisição. Todos eles responderam que ademora com o tempo gasto no processo se deve aos trâmites burocráticos exigidos pela InstruçãoNormativa no 4 de 2014 que normatiza as compras de soluções de TI na APF e também pela leino 8.666/93 que regula as formas de licitações e contratos na APF.

Essa realidade é bastante preocupante, pois muitas das vezes surgem demandas urgentes,que teriam que ser atendidas em tempo real, como a necessidade de aumentar recursos dearmazenamento e processamento nos Datacenters para melhorar a qualidade dos serviçosprestados a população em geral. Os participantes também frisaram que essa demora na finalizaçãodos processos de aquisição de ativos de rede podem prejudicar de outras maneiras, como ocancelamento da compra por motivos de falta de recursos orçamentários.

O outro questionamento feito aos Gestores foi em relação ao atendimento das demandasque surgem com relação a aquisição de licenças de softwares proprietários na APF. O gráfico daFigura 3.8 demonstra o tempo médio gasto desde o planejamento até a aquisição dessas licençasde sofware.

A maior parte dos participantes, com 83,3%, disse que todo o processo de aquisiçãode licenças de software pode levar de doze a dezessete meses, enquanto 16,7% responderamque o tempo gasto pode ir de dezoito a vinte e quatro meses para que se consiga o êxito nascontratações de licenças de software. Os principais motivos que levam a demora da aquisiçãode licenças de software na APF na visão de todos os participantes foram os mesmos explicadosna aquisição de ativos de rede, ou seja, são os trâmites burocráticos exigidos pela InstruçãoNormativa no 4 de 2014 e pela lei no 8.666/93 de licitações e contratos.

50

Figura 3.8: Tempo médio gasto para aquisição de licenças de software na APF

Esses resultados também são muito preocupantes, pois existem situações onde as de-mandas por licenças de software na APF são estritamente urgentes e necessárias para o bomandamento da prestação de serviços. Como exemplo os Gestores de TI citaram licenças desoftwares educacionais para laboratórios de informática e também licenças da suíte de escritóriopara edição de documentos como textos, planilhas e apresentações eletrônicas. Eles tambémsalientaram que sem a aquisição dessas licenças de software fica praticamente impossível ouinviável as prestações de serviços na APF.

Além das demandas por aquisições de ativos de rede e licenças de software sabe-se queexistem as demandas internas da própria APF para o desenvolvimento de sistemas e aplicaçõesde TI com o objetivo de atender com eficiência ao público em geral. Diante dessa situação foiquestionado aos participantes qual seria o tempo ideal para planejar e desenvolver esses sistemase aplicações de TI na APF. O gráfico da Figura 3.9 demonstra quanto tempo é levado em médiapara o desenvolvimento dos sistemas e aplicações de TI.

Apenas um dos participantes respondeu que não é desenvolvido nenhum tipo de aplicaçãode TI no local de trabalho, mas outros dois participantes apontaram como o tempo ideal parao desenvolvimento de sistemas o prazo de seis a onze meses e mais outros dois participantesresponderam que o tempo ideal seria de doze a dezessete meses e, por último, um participanterespondeu que o tempo ideal seria de dezoito a vinte e quatro meses.

Nesses resultados percebe-se que, apesar da discordância entre os participantes emrelação ao tempo médio de desenvolvimento, existe uma forte evidência de que o prazo mínimopara o desenvolvimento de qualquer tipo de aplicação ou sistema de TI para a APF seria de seismeses a um ano. Questionados sobre qual seria o motivo que causa a demora no desenvolvimentodas aplicações de TI todos os Gestores foram unânimes em dizer que o principal motivo éa falta de profissionais de TI para compor a equipe de desenvolvimento. Além disso elesdisseram que existe a questão da necessidade de capacitação para o desenvolvimento de algumas

51

Figura 3.9: Tempo médio gasto para o desenvolvimento de sistemas e aplicações de TI

demandas bem especificas. Esses detalhes de falta de profissionais e necessidade de capacitaçãopodem prejudicar o andamento da prestação de serviços de TI, causando um descontentamentogeneralizado a população que é a principal consumidora desses sistemas.

3.0.5 Utilização da Infraestrutura de Datacenter no IFGOIANO

Na quarta e última seção buscou-se realizar um levantamento da infraestrutura de Data-

center em cada um dos cinco campus e reitoria do IF Goiano por meio das ferramentas explicadasno Capítulo 3. Esse levantamento tem o objetivo de descrever a atual realidade da situação decada Datacenter, além de informar o percentual de utilização ou cargas de trabalho dessesDatacenters. Para uma melhor visualização da realidade de cada Datacenter a Tabela 3.1 ilustrao resumo com a descrição dos servidores com suas respectivas configurações e quantidades. Paramanter o sigilo das informações a nomenclatura da reitoria está descrita na tabela como umcampus.

Campus Servidores (Datacenter) Quantidade

Campus A Dell PowerEdge R 710 com 24 GB RAMDell PowerEdge R 720 com 128 GB RAM

31

Campus B Dell PowerEdge T410 Xeon com 16 GB RAMDell PowerEdge T310 Xeon com 8 GB RAM

22

Campus C HP Proliant ML 150 Xeon com 12 GB RAMDell PowerEdge T420 Xeon com 24 GB RAM

42

Campus D Dell PowerEdge T420 com 24 GB RAM 1Campus E Dell PowerEdge T 410 Xeon com 24 GB RAM 2

Campus F HP Proliant DL 360 Xeon com 16 GB RAMIBM X3650 M3 com 32 GB RAM

11

Tabela 3.1: Descrição dos Datacenters

52

Esta tabela com a descrição dos servidores hospedados nos Datacenters dos campus doIF Goiano demonstra que apesar de todos os campus fazerem parte da mesma instituição federalde ensino existe uma enorme discrepância na forma de como esses recursos computacionaisde TI são adquiridos e distribuídos entre si. A pesquisa também levantou os dados referentesa utilização desses equipamentos nos respectivos Datacenters. Para um melhor entendimentoo gráfico da Figura 3.10 demonstra o percentual de utilização ou cargas de trabalho nosDatacenters de cada Campus.

Figura 3.10: Percentual de utilização cargas de trabalho nos Datacenters

Os campus A e F estão operando com o percentual de utilização entre 60% e 70%, oque demonstra que está havendo um uso mais racional dos recursos de Datacenter, onde osequipamentos trabalham sem a característica da ociosidade ou subutilização; o campus B estátrabalhando entre 50% a 59% da sua capacidade o que já caracteriza o inicio de uma possívelsubutilização ou ociosidade dos equipamentos na maior parte do tempo; o Campus C está emuma situação bem atípica em relação aos outros campus, pois a sua utilização está entre 20% a29% e levanta uma forte evidência de que esse Datacenter está totalmente subutilizado com amaioria de sua capacidade computacional ociosa para realizar outras tarefas; o Campus D estáoperando acima dos 70% de sua capacidade, com a possibilidade de sobrecarga no Datacenter

podendo levar a interrupção dos serviços de TI em horários de picos; o Campus E opera entre30% e 39%, o que indica também que os recursos de TI do Datacenter podem estar ociosos esubutilizados na maior parte do tempo.

Outro fator que foi analisado nesta etapa da pesquisa foi em relação a qualidade dogerenciamento e monitoramento destes Datacenters, onde foi questionado aos Gestores de TIqual é o nível de controle que eles tem sobre o gerenciamento desses recursos de Datacenter.O gráfico da Figura 3.11 ilustra o grau de controle dos Datacenters sob a administração dos

53

Gestores de TI.

Figura 3.11: Controle sobre o Gerenciamento dos Datacenters

A metade 50% disse que tem apenas o controle parcial sobre o gerenciamento deseus Datacenters, onde a maioria dos serviços e aplicações de TI estão sendo gerenciados emonitorados com algum tipo de ferramenta, mas eles deixaram bem claro que não tem o controlesobre a totalidade de sua infraestrutura de TI. Já 16,7% responderam que não tem nenhum tipode ferramenta para fazer o gerenciamento e monitoramento de seus Datacenters. Outros 16,7%não souberam responder até que grau de controle eles tem sob a sua infraestrutura de TI, poisnão utilizam nenhum tipo de ferramenta de monitoramento e o restante, com 16,7%, respondeuque tem o controle total sobre os seus Datacenters, onde todos os serviços e aplicações de TIestão sendo monitorados e gerenciados de alguma maneira.

Percebe-se diante destes resultados obtidos na Figura 3.11 que a grande maioria dosGestores de TI tem somente um controle parcial ou ainda nenhum tipo de controle sobre ogerenciamento e monitoramento de seus Datacenters. Isso pode ser o principal fator que justificaa falta de planejamento na hora de adquirir recursos como ativos de redes para os Datacenters,com uma forte evidência de mal uso dos recursos computacionais demonstrados no gráfico depercentual de utilização dos Datacenters com as cargas de trabalho da Figura 3.10.

3.0.6 Discussão dos Resultados

Na pesquisa foi identificado que o principal papel dos Gestores em TI foram o deconsultores, apresentado suas opiniões como profissionais atuantes da área de Gestão de TI.Este foi um fator de sucesso para este trabalho porque nos ajudou a obter conselhos práticosvivenciados no dia a dia destes profissionais que participaram ativamente de todas as etapas doprocesso que discutiu as principais dificuldades encontradas na Gestão de TI da APF.

Na etapa de Governança de TI foi verificado que todos Gestores de TI executam váriastarefas, além de planejar e gerenciar. Esta característica acaba impactando negativamente nogerenciamento dos projetos de TI da APF, com frequentes ocorrências de atrasos na sua elabo-ração e execução. Segundo TRIPATHI; PARIHAR (2011); SMITHA; THOMAS; CHITHARAN-

54

JAN (2012) as arquiteturas em nuvem ajudam na implementação de políticas em Datacenters.Estas políticas auxiliam na forma de gerenciar a infraestrutura de TI em questões que dizemrespeito a melhoria da segurança dos Datacenters e na redução do tempo para o desenvolvimentoe implantação de novas aplicações de TI, melhorando assim a eficiência administrativa.

Em relação a força de trabalho com profissionais de TI, o gráfico da Figura 3.5 demonstraque a maioria dos Gestores de TI enfrentam dificuldades com a falta de Analistas e Técnicosem TI para atenderem o mínimo das expectativas demandadas por serviços de TI na APF. Nestecenário a Computação em Nuvem pode vir a contribuir com a solução de um sistema inteligentecompleto, com a modernização e configuração de ambientes de TI totalmente automatizados,diminuindo assim a dependência de pessoas envolvidas, reduzindo o custo com a necessidade derecursos humanos (YEH et al., 2010).

Foi constatado que os principais impedimentos nas contratações de soluções de TI naAPF são as restrições orçamentárias causadas por cortes no orçamento público ao longo do ano eo processo burocrático com a necessidade de cumprimento das normas impostas pela legislaçãobrasileira. De acordo com CELLARY; STRYKOWSKI (2009); YEH et al. (2010); SMITHA;THOMAS; CHITHARANJAN (2012) os ambientes que possuem os sistemas hospedados emarquiteturas de nuvem podem reduzir consideravelmente os custos com hardware, software,eletricidade e recursos humanos, além de disponibilizarem uma excelente qualidade na prestaçãodos serviços.

Os projetos que envolvem contratações de soluções de TI, como a aquisição de ativos deredes e licenças de software ocorrem de uma forma muito lenta na APF. Em média demoram de18 a 24 meses para sua finalização. Segundo RASTOGI (2010), na arquitetura em nuvem nãoexiste a necessidade de se comprar hardware, licenças de software ou implementação de serviçosde TI. A infraestrutura de Computação em Nuvem está disponível sob demanda, com soluçõesque podem disponibilizar uma infraestrutura de TI como armazenamento e processamento, ouainda disponibilizar uma plataforma de desenvolvimento de software totalmente customizada.

Sobre a utilização da infraestrutura de Datacenter, foi verificado que, na maioria doscampus, os recursos computacionais disponíveis estão subutilizados ou ociosos e, em apenasum dos casos ocorre a sobrecarga de trabalho com a utilização acima dos 70%. Isso se deveao fato de não existir um balanceamento de cargas de trabalho entre os Datacenters. ParaARMBRUST et al. (2009); BHISIKAR (2011); ANDRIKOPOULOS et al. (2013) a arquiteturade Computação em Nuvem oferece o modelo de tarifação conhecido como pay-per-use ou paguepelo uso. Esse modelo permite a utilização dos recursos computacionais de uma forma maisracional, onde são dispensadas as compras de hardware, software e manutenção, e o pagamentopela utilização dos recursos da nuvem será feito somente no que realmente foi utilizado.

No que diz respeito a forma de como é monitorada e gerenciada a infraestrutura deDatacenter nos campus, a maioria dos Gestores de TI afirmou que tem apenas o controle parcialsobre o monitoramento dos recursos computacionais de sua infraestrutura de TI. Para mitigaresses problemas relacionados ao monitoramento e gerenciamento a arquitetura de Computação


em Nuvem pode oferecer a possibilidade de administração dos recursos computacionais de formacentralizada através de um único ponto (e.g navegador de internet) e ainda sem nenhum tipo deesforço por parte do usuário (MELL; GRANCE, 2011).

Diante destes resultados observou-se que existe uma grande carência por capacitação naárea de Governança de TI aos Gestores que atuam em algum cargo relevante de TI na APF, poisfoi verificado que existem grandes lacunas com algum tipo de deficiência na forma de gerir ainfraestrutura de TI em um mesmo órgão federal, onde alguns pecam pela sub-utilização dosrecursos e outros pela sobrecarga destes mesmos recursos de Datacenter.

Para concluir, nenhum dos 6 (seis) Gestores de TI soube informar com certeza absolutase a infraestrutura de TI existente em seu Campus seria capaz de suportar o sistema eletrôniconacional PEN para colocá-lo em produção e todos foram unânimes em dizer que ainda não estãopreparados para projetar e/ou dimensionar a infraestrutura de TI apropriada para implantação dosistema PEN.


Este capítulo apresentou os principais resultados obtidos na pesquisa com a análisedetalhada de cada situação enfrentada pelos gestores de TI da APF nas contratações de soluçõesde TI. Após a análise estatística dos dados foi realizada a discussão dos resultados, apresentandouma síntese com as principais conclusões retiradas da pesquisa.

O próximo capítulo vai apresentar a proposta contendo o Catálogo de Boas Práticas aserem seguidos pelos Gestores de TI nas contratações de serviços de Computação em Nuvem naAPF.

565656

4CATÁLOGO DE BOAS PRÁTICAS PARACONTRATAÇÕES DE COMPUTAÇÃO EMNUVEM NA APF

Neste capítulo será apresentada a proposta do Catálogo de Boas Práticas a ser seguidopelos Gestores de TI em contratações de serviços de Computação em Nuvem na APF. É impor-tante salientar que esse plano é especifico para atender ao Decreto n° 8.539, de 8 de outubro de2015, onde fica estabelecido um prazo de dois anos a partir da data do decreto para disponibi-lizar uma infraestrutura de TI adequada que atenda ao sistema do processo eletrônico nacional(PEN)1. Este Decreto tem o principal objetivo de promover a utilização de meios eletrônicospara a realização dos processos administrativos com segurança, transparência e economicidade etambém para facilitar o acesso do cidadão às instâncias administrativas.

O que motivou a elaboração deste Catálogo de Boas Práticas foi a dificuldade encontradapelos Gestores de TI no que diz respeito ao prazo para execução de novas soluções de TI paraatender a urgente demanda de infraestrutura de TI para implantação do sistema PEN na APF. Napesquisa constatou-se que existe uma grande dificuldade em adquirir novas soluções de TI devidoas dificuldades orçamentárias e aos entraves burocráticos exigidos pela Instrução Normativa no

4 de 2014 e pela lei no 8.666/93 de licitações e contratos, além do tempo que é tomado para aexecução dos projetos quando aprovados.

4.1 Contratação de Serviços de Redes de Telecomunicaçõesna APF

Antes de elaborar o Catálogo de Boas Práticas, foi realizada uma consulta ao modeloproposto pela Estratégia Geral de Tecnologia da Informação (EGTI)2 do Governo Federal, ondeos serviços de Computação em Nuvem devem obrigatoriamente estar alinhados ao Decreto no

1https://processoeletronico.gov.br/2http://www.sisp.gov.br/egtic/wiki/download/file/EGTIC

4.1. CONTRATAÇÃO DE SERVIÇOS DE REDES DE TELECOMUNICAÇÕES NA APF57

8.135, de 4 de novembro de 2013 e a Portaria Interministerial no 141, de 5 de maio de 2014.Como forma de facilitar o acesso a todas as leis, decretos e Instruções Normativas do GovernoFederal referentes ao assunto de Computação em Nuvem, será disponibilizado um acervo dedocumentos digitais para consulta em um repositório do Github (GITHUB, 2016).

O artigo 1o do Decreto no 8.135, de 4 de novembro de 2013, afirma que a prestaçãode serviços para as demandas por armazenamento e recuperação de dados na APF se darão daseguinte maneira:

"As comunicações de dados da administração pública federal direta,autárquica e fundacional deverão ser realizadas por redes de telecomu-nicações e serviços de tecnologia da informação fornecidos por órgãos ouentidades da administração pública federal, incluindo empresas públicas esociedades de economia mista da União e suas subsidiárias."

Esse artigo deixa claro que, a priori, as demandas por recursos de armazenamento erecuperação de dados teriam que ser atendidas por uma infraestrutura de TI fornecida pelospróprios órgãos que fazem parte da APF. Entretanto não foi contemplado os casos que seriamomissos ou tratados como uma exceção, onde podemos utilizar como exemplo a situação emque os próprios órgãos não fossem capazes de suprir suas demandas mais urgentes com umainfraestrutura de TI apropriada.

No ano de 2014 foram realizadas várias reuniões com os diretores de TI de diversasinstituições federais de ensino para discutir sobre o vazamento de informações publicadaspelo administrador de sistemas Edward Snowden. O principal assunto discutido foi sobre aimplantação do projeto Expresso, que trata sobre a disponibilização do serviço de correioeletrônico e-mail contratando o órgão público responsável pelo processamento de dados da APFconhecido como SERPRO3. Entretanto este projeto foi interrompido na sua fase inicial, pois nasprimeiras reuniões ficou constatado que o SERPRO não atenderia nem 20% dos órgãos públicos,e que esta solução seria três vezes mais cara que as soluções de e-mail existentes no mercado.

Como forma de complementar o Decreto no 8.135, foi publicada a Portaria Intermi-nisterial no 141, de 5 de maio de 2014, que surgiu para regulamentar a forma de prestação deserviços de comunicações de dados na APF. Esta portaria, em seu Capítulo III, que trata sobre oprocedimento de contratação de serviços, mais especificamente na Seção II, em seu artigo 7o

afirma que:

"Nos casos em que não houver oferta da prestação de serviços por órgãosou entidades fornecedores, é permitida a contratação de serviços de redesde telecomunicações ou de tecnologia da informação junto a fornecedoresprivados."

3https://www.serpro.gov.br/home

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF 58

É no artigo 7o que é justificada a permissão na contratação de serviços de telecomuni-cações por fornecedores e empresas privadas. O artigo deixa evidente que nos casos em que osórgãos da APF não forem capazes de ofertarem a prestação de serviços de redes de telecomuni-cações ou de tecnologia da informação, estes mesmos serviços poderão ser contratados junto aempresas e fornecedores privados.

A partir da realização dos estudos e consultas a essas leis, instruções normativas, eportarias que regem os serviços de redes de telecomunicações na APF, é que foi tomada a decisãode elaborar o Catálogo de Boas Práticas para adoção da Computação em Nuvem como formade prover uma infraestrutura de TI adequada para implantação do sistema de processo eletrôniconacional PEN aos órgãos da APF.

4.2 Metas para Adoção de Computação em Nuvem na APF

Para elaborar as metas a serem atingidas no Catálogo de Boas Práticas foi necessário,em um primeiro momento, identificar em qual nível do planejamento estratégico da APF seriarealmente necessário atuar para que a adoção de práticas de Computação em Nuvem ocorra comsucesso. A Figura 4.1 demonstra a relação entre o planejamento estratégico e o PDTI de umórgão da APF.

Figura 4.1: Relação entre Planejamento Estratégico e PDTI (Modificado pelo autor)


O Plano Diretor de Tecnologia da Informação (PDTI) é o principal responsável porfazer o alinhamento entre as estratégias de negócio de uma organização e os recursos de TI.Essa integração é que habilita a TI a apoiar as estratégias organizacionais mais efetivamente,permitindo que a TI formule suas estratégias, organize seus processos e, consequentemente,determine os investimentos e recursos humanos em TI orientados sempre pela estratégia denegócios.

O nível estratégico já é bem definido pela alta direção e, na maioria das vezes, vemapenas como um "cumpra-se" para a equipe de planejamento tático de TI, portanto a tomadade decisões desse nível vem sempre da cúpula composta pela alta direção. Já o nível tático é oresponsável por elaborar, gerenciar e fornecer os subsídios necessários para a concretização dasdemandas advindas da estratégia do negócio.

O nível operacional é o que vai ficar responsável por cumprir e executar os planos deações elaborados pelos envolvidos no nível de planejamento tático de TI. Como ainda nãoexistem métodos específicos para a adoção de práticas de Computação em Nuvem na APF, éjustamente no nível tático que será elaborado o Catálogo de Boas Práticas para o uso desse novomodelo de Computação, que poderá permitir a utilização de uma infraestrutura de TI escalávele eficiente para a implantação do sistema PEN nos órgãos da APF. A Tabela 4.1 demonstra deforma resumida quais são as metas a serem alcançadas neste trabalho, com a elaboração de umcatálogo.

Metas para adoção de Computação em Nuvem na APFMetas Catálogo de Boas Práticas

Gerenciar riscos de Governança equestões legais em Computação em Nuvem

Atribuir normas que abordem a utilização de Computação em Nuvempara APF e avaliar os riscos de utilização de provedores de Nuvem

para proteger dados confidenciais

Controle de Operações em Datacenters eRecuperação de Desastres

Avaliar a arquitetura de Datacenter nos provedores de Nuvem fundamentandoprincipalmente na continuidade do negócio e em possíveis recuperações de

desastres para a estabilidade a longo prazoMonitoramento dos recursos computacionais

e notificações de incidentesElaborar os critérios de gerenciamento e utilização dos recursos computacionais

nos provedores de Nuvem com a detecção e notificação dos incidentesAtribuir forma de bilhetagem básica contemplando

a utilização de um domínio/contaDesenvolver uma equação para bilhetagem básica que forneça o mapeamento

entre os recursos utilizados e o gasto em Real (R$)

Tabela 4.1: Metas para adoção de Computação em Nuvem na APF

A Governança de TI na APF baseia-se em um conjunto de leis, políticas e tecnologiasque direcionam a forma de administrar os recursos de TI que serão utilizados para suprir umadeterminada demanda advinda da administração. Uma boa Governança baseia-se na aceitação ecumprimento dessas normas com processos de segurança da informação bem projetados paraalcançar o objetivo de um negócio sustentável, escalável e principalmente com investimentos debaixo custo.

O modelo de oferta de serviços de Computação em Nuvem na APF terá que estar emconformidade com as principais legislações que regem este assunto, que são o Decreto no 8.135,de 4 de novembro de 2013, a Portaria Interministerial no 141, de 5 de maio de 2014, e a NormaComplementar no 14/IN01/DSIC/GSIPR, de 3 de janeiro de 2012, que diz respeito as diretrizes


relacionadas à segurança da informação e comunicações para o uso de Computação em Nuvemnos órgãos e entidades da APF (EGTIC, 2014).

Para elaborar o Catálogo de Boas Práticas na contratação de serviços de Computaçãoem Nuvem na APF foi necessário identificar os principais fatores relevantes para a estratégiade negócio e que foram incluídos na legislação definida pela (EGTIC, 2014) para que, partindodesses critérios, fosse elaborado o catálogo para a adoção de práticas de Computação em Nuvemem órgãos da APF. Os principais critérios abordados para o modelo de Computação em Nuvempodem ser elencados da seguinte maneira:

� Os equipamentos e programas utilizados em serviços de Computação em Nuvemterão que ter obrigatoriamente características técnicas que permitam a auditoria paragarantir a autenticidade, confidencialidade e integridade dos dados e informações.

� Os Datacenters responsáveis pela infraestrutura de Nuvem terão que estar hospedadosou possuir um site de backup preferencialmente em território Brasileiro.

� Disponibilização de ferramentas que garantam a prevenção de ataques, detecção deintrusão e códigos maliciosos ao acesso dos serviços que utilizam a Internet.

� Disponibilização de ferramenta que garanta o controle de acesso e gerenciamento deidentidade dos usuários.

� Fornecimento de ferramentas gerenciais para o monitoramento do tráfego da rede euso dos recursos computacionais.

� Adoção de padrões de interoperabilidade do Governo Eletrônico definidos pela APFdisponíveis na arquitetura e-PING4.

� Aplicação de penalidades e multas em caso de descumprimento das normas deincidentes de segurança que vierem a ocorrer de forma intencional, ou ainda poromissão.

� Disponibilização de ferramentas e tecnologias necessárias para migração de ambientedos serviços e aplicações hospedados em provedores de Nuvem.

� Garantia de acesso e disponibilidade dos dados e informações somente a pessoasestritamente autorizadas.

� Definição de níveis de acordo de serviços SLAs que garantam a disponibilidade dosserviços essenciais, com a aplicação de multas em caso de descumprimento.

� Desenvolvimento de uma equação de bilhetagem básica que contemple o mapeamentoentre o uso e Real(R$).

4http://eping.governoeletronico.gov.br/


Esses são os principais itens a serem observados e que estão intrinsecamente relacionadosao gerenciamento dos riscos de Governança e Segurança de Informação nos casos de contrataçõesde serviços de Computação em Nuvem na APF. Como forma de satisfazer os requisitos fun-cionais referentes a estes itens será apresentado um Catálogo de Boas Práticas para adoção daComputação em Nuvem na APF.

De acordo com o padrão ISO/IEC 20000-2:2012 ISO/IEC (2012) é de extrema importân-cia que seja elaborado um guia de diretrizes contendo as orientações para a aplicação de umsistema de gerenciamento de serviços. Para satisfazer aos padrões de qualidade propostos nestetrabalho e também para facilitar o entendimento por parte dos Gestores de TI que vão estardiretamente envolvidos na implantação do sistema PEN, será apresentado um quadro com asprincipais diretrizes a serem seguidas nas contratações de serviços de Computação em Nuvem naAPF. A Figura 4.2 aborda o quadro com os principais assuntos que serão tratados no Catálogode Boas Práticas.

Figura 4.2: Orientações da aplicabilidade do Catálogo de Boas Práticas

No catálogo serão detalhados itens como Governança, Segurança da Informação, Níveisde Acordo de Serviço (SLAs), Bilhetagem, além do Gerenciamento e Monitoramento dosrecursos computacionais. A Figura 4.2 demonstra exatamente o guia de orientações com asetapas a serem cumpridas pelos Gestores de TI em contratações de serviços de Computação emNuvem na APF.

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARACONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF 62

4.3 Boas Práticas de Governança e Segurança da Informaçãopara contratação de serviços de Computação em Nuvemna APF

A principal intenção na construção deste catálogo foi a de disponibilizar o passo apasso das principais diretrizes a serem seguidas em contratações de serviços de Computação emNuvem para atender as demandas do sistema PEN na APF, de uma forma mais simples, prática efuncional.

Como forma de garantir a autenticidade, confidencialidade e integridade, com a auditoriados equipamentos e programas utilizados na Computação em Nuvem, é estritamente necessárioque o provedor de Nuvem cumpra os requisitos de qualidade com a comprovação de capacidadetécnica apresentando as seguintes certificações:

� ISO 27001: Esta norma é o padrão de referência internacional para critérios rela-cionados a Segurança da Informação em TI. O seu principal objetivo é a contribuiçãopara um conjunto de requisitos, processo e controles para mitigar de forma adequadaos riscos de segurança em uma organização (ISO/IEC, 2013).

� TIER 2: O TIER 2 é um padrão de classificação responsável por descrever osrequisitos mínimos necessários em uma infraestrutura de Datacenter. A principalcaracterística do TIER 2 é que os equipamentos do Datacenter e da operadora deTelecomunicações devem ter módulos redundantes com mínimo de N+1 (como fontesde energia, placas, processadores, UPS, geradores de energia, ar-condicionados,uplinks de acesso, entre outros) (FURUKAWA, 2016).

� SOC 2: O SOC 2 é uma norma que estabelece o padrão de controles para protegera confidencialidade e privacidade das informações armazenadas em provedores deserviços em Nuvem. A auditoria SOC 2 avalia a eficiência dos provedores de Nuvemcom base nos princípios e critérios dos serviços confiáveis do Instituto Americano deContas de Certificados Públicos (AICPA) (MICROSOFT, 2016).

� ISO 9001: A ISO 9001 é um sistema de gestão de qualidade que tem o propósito dedesenvolver padrões de "melhoria contínua" para serem utilizadas em todos os paísesdo mundo. Seu principal objetivo é manter um portfólio de serviços que permitamuma constante melhoria de desempenho devido a sua implementação (ISO/IEC,2008).

Para atender aos itens de prevenção de ataques e detecção de intrusão, o provedor deserviços em Nuvem terá que disponibilizar um serviço de firewall dedicado com acesso remotoao ambiente hospedado através de uma rede virtual privada VPN (Virtual Private Network)

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARACONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF 63que suporte os protocolos IPsec ou L2TP do tipo site-to-site, utilizando os protocolos SSH ouRDP (Remote Desktop Connection) para estabelecimento da conexão. Além deste detalhe oprovedor terá que agregar funcionalidades com maiores níveis de segurança da informação aoambiente como, por exemplo, o serviço WAF (Web Application Firewall), que é um firewall deaplicação que protegerá as soluções disponibilizadas na internet contra ataques de usuários malintencionados.

O serviço de firewall ainda terá que detectar minimamente as seguintes classes de ataques:

� Violações do protocolo HTTP;

� SQL Injection;

� Cross-Site Scripting (XSS);

� Buffer Overflow;

� OS Command Execution;

� Remote Code Inclusion;

� Server Side Includes (SSI) Injection;

� Scanners de vulnerabilidade Web e Crawlers;

� Worms e Web Shell Backdoors;

� Denial of Service Attack (DDOS);

Em relação ao serviço de controle de acesso e gerenciamento de identidades, o provedorde serviços em Nuvem terá que se responsabilizar em desenvolver uma interface baseadaem WEB que suporte a relação entre domínios confiáveis da APF utilizando o SAML 2.0(Security Assertion Markup Language 2.0) integrado ao provedor da Rede Nacional de Ensinoe Pesquisa (RNP), disponibilizando o serviço de autenticação pela Comunidade AcadêmicaFederada - CAFe5 para prover uma camada de identidade federada, que terá como base de dadosa matricula única dos servidores públicos federais pertencentes a APF.

Outro fator importante para o guia de recomendações é definir os critérios e respon-sabilidades a serem cumpridos por parte do provedor de serviços em Nuvem em relação àscaracterísticas das ferramentas de Gestão de infraestrutura de Datacenter que será disponibi-lizada aos diversos órgãos da APF. Para garantir a qualidade da gestão da infraestrutura emNuvem, o provedor será obrigado a cumprir aos seguintes requisitos técnicos:

� Ambiente de Hypervisors configurados para suportar a integração de vários clusters

em um Datacenter com suporte a atualizações;

5https://portal.rnp.br/web/servicos/cafe


� Integração do ambiente de Hypervisors com os Storages de armazenamento atravésde switchs core com a tecnologia Fibre Channel;

� Configuração de pools de recursos computacionais baseados nas característicastécnicas de cada aplicação;

� Fornecimento de cópia de segurança com capacidade de clonagem de máquinasvirtuais (VMs);

� Fornecimento de serviço de backup e restauração integral da solução podendo seracionado a qualquer tempo;

� Permitir o acesso simultâneo para, no mínimo, dez (10) usuários;

� Criação de grupos de VMs, de VMs a partir de templates, de clonagem, destruição ealteração do nome da VM;

� Disponilizar software de conversão de servidores físicos para servidores virtuais"Physical to Virtual" (P2V);

� Configuração do ambiente virtualizado para que seja disponibilizado os recursos detolerância a falhas e alta disponibilidade nos serviços de aplicações críticas;

� Configuração e alteração das características de hardware, como quantidades deprocessadores, memória RAM e de armazenamento, com o ambiente em produção;

� Criação, destruição e alteração de Redes Virtuais (VLANs);

� Migração de VMs entre VLANs;

� Operações de power (poweron, poweroff, reset, reboot) nas VMs;

� Monitoramento do processamento, memória, armazenamento, latência e tráfego deentrada e saída por VM, feito através de ferramenta disponibilizada pelo provedor deNuvem;

� Registro das operações (logs de auditoria) efetuadas nos servidores e no ambientevirtual;

� Definição de regras de balanceamento de carga entre os servidores virtuais;

� Configuração e integração de um site backup para casos extremos de recuperação dedesastres;


Os provedores de serviços em Nuvem terão que se adequarem aos padrões de inte-roperabilidade que são definidos por um conjunto de premissas e especificações técnicas doGoverno Eletrônico (EPING, 2016), desenvolvendo e mantendo as ontologias e outros recursosde organização da informação necessários, visando facilitar o cruzamento de dados de diferentesfontes de informação, quando da sua utilização por outras organizações integrantes da APF, pororganizações da sociedade civil ou pelo cidadão.

Para conseguir aplicar os critérios de segurança com os níveis de acesso aos dados einformações hospedados em provedores de serviços em Nuvem serão estabelecidas normasbaseadas no ciclo de vida de segurança dos dados, para que a partir daí, sejam concedidasas permissões necessárias que serão atribuídas pelas regras de negócio estabelecidas pela altadireção dos órgãos da APF. A Figura 4.3 demonstra quais são as fases propostas para o ciclo devida dos dados.

Figura 4.3: Modelo de Ciclo de vida dos Dados - (Modificado pelo autor)

� Create: Essa fase é responsável pela geração e atualização de novos arquivos digitais.

� Store: Essa fase acontece logo após a Create com o objetivo de armazenar os arquivosdigitais em algum tipo de repositório.

� Use: Aqui os dados poderão ser visualizados, processados ou utilizados por algumtipo de aplicação.

� Share: Essa fase é responsável por permitir o compartilhamento dos dados entre osusuários, clientes, ou parceiros.


� Archive: Nessa fase os dados que não necessitam ser mais acessados poderão passarpara o armazenamento a longo prazo.

� Destroy: Nessa fase os dados são permanente destruídos utilizando de algum meiofísico ou digital.

Depois de descritas as fases do clico de vida de segurança dos dados, as permissõesserão concedidas de acordo com o perfil de cada usuário, podendo ser atribuída uma ou váriaspermissões ao mesmo usuário. A Tabela 4.2 demonstra um exemplo dos níveis de permissões deacesso que podem ser atribuídas a cada usuário.

Create Store Use Share Archive DestroyUsuário AUsuário BUsuário CUsuário D

Tabela 4.2: Perfil de Acesso do Usuário aos dados armazenados em Nuvem

Os provedores de serviços em Nuvem terão que aplicar esse modelo de atribuições deperfis de acesso aos dados de acordo com a política de segurança proposto por cada órgão daAPF, com a possibilidade de autorização ou revogação de novas solicitações de acordo com asdemandas originadas pela alta direção.

4.3.1 Boas Práticas para os Contratos de Níveis de Acordo de Serviço -SLAs em Provedores de Nuvem

A proposta deste catálogo consiste em estabelecer os parâmetros com as métricasnecessárias para que os níveis de acordo de serviço (SLAs) dos serviços hospedados em prove-dores de Nuvem garantam a qualidade no fornecimento dos serviços que serão utilizados pelosistema PEN na APF. A disponibilidade do serviço será calculada para o período de um mês e odescumprimento dos SLAs por parte dos provedores serão punidos com créditos de serviço nafatura mensal.

Como o SLA vai ser calculado pelo período de disponibilidade mensal é de sumaimportância saber quais são os critérios que afetam diretamente a entrega destes serviços porparte do provedor de serviços em Nuvem. A equação para saber a porcentagem de disponibilidademensal seguirá os seguintes critérios:

T D = [(Tod −Tid)x100]/Tod

Onde:TD = Disponibilidade Mensal (%);Tod = Período total de operação em um mês (minutos);

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARACONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF 67Tid = Período de indisponibilidade em um mês (minutos);

Para atender minimamente os padrões de qualidade exigidos na prestação de serviçospara implantação do sistema PEN na APF, o provedor de serviços em Nuvem terá que seresponsabilizar em atender aos seguintes critérios de qualidade:

� Deverá possuir o SLA (Service Level Agreement), de no mínimo de 99,8% ao mêspara a disponibilidade da solução ofertada, comprovada via relatório mensal;

� O tempo de indisponibilidade será contado a partir da abertura do chamado, até oencerramento do chamado pelo órgão da APF;

� A latência máxima admitida pela APF no serviço de comunicação de dados ponto-a-ponto será de 50 ms (cinquenta milissegundos);

� O máximo de perda de pacotes admitido pela APF para o serviço de comunicação dedados ponto-a-ponto será de 0,5% (zero vírgula cinco por cento);

� Deverá apresentar mensalmente um relatório apresentando o consumo, utilização eperíodo de indisponibilidade do ambiente (downtime);

� Deverá efetuar manutenção preventiva de acordo com as recomendações dos fabri-cantes e critérios prescritos pelo órgão da APF, destinado a reduzir a probabilidadede falha ou a degradação do funcionamento da solução;

� O atendimento à abertura de chamados técnicos deverá ser do tipo On-Site contem-plando as 24 horas nos 7 dias da semana (24x7);

� Deverá disponibilizar documentação relativa à utilização da solução, bem como áreade Frequently Asked Questions (FAQ) para esclarecimento de dúvidas em regimede self- service;

� Deverá ser responsável por efetuar as atividades de integração das soluções emNuvem com o ambiente operacional dos órgãos da APF;

A forma de atribuir as penalidades ao provedor de serviços em Nuvem será estabelecidacom base em parâmetros mínimos de qualidade no atendimento do serviço em relação a porcen-tagem de disponibilidade mensal. Neste caso serão estabelecidos valores que serão revertidosem créditos na moeda corrente, com base no Real (R$) para o cálculo, na conta de pagamento doórgão que está utilizando o serviço prestado pelo provedor de Nuvem. Com isto espera-se umaboa qualidade na prestação de serviços, ou ainda um crédito na conta, caso os critérios do SLAsnão sejam cumpridos de acordo com o contrato. A Tabela 4.3 demonstra os níveis aceitáveispara o sistema PEN com as porcentagens de disponibilidade mensal e os créditos nas contas casoo acordo não seja cumprido.


Porcentagem de Funcionamento Mensal Crédito de Serviço99,00%<=pfm<99,8% 15%<98,9% 25%

Tabela 4.3: Porcentagem de crédito de serviço na fatura mensal

Os níveis de porcentagem de funcionamento mensal que ficarem entre 99,00% e 99,8%terão um crédito de serviço de 15% na conta do órgão que estiver utilizando o serviço em Nuveme os que estiverem abaixo de 98,9% terão um crédito ainda maior no valor de 25% na conta paraamenizar os prejuízos de tempo de indisponibilidade mensal do serviço.

Os critérios estabelecidos pelos SLAs são uma forma de garantir a qualidade nos serviçosprestados pelos provedores de Nuvem com o funcionamento de pelo menos 99,8% do tempo dedisponibilidade mensal e ainda estabelecer uma recompensa na forma de crédito em Reais (R$)caso os níveis de acordo de serviço não sejam atendidos de acordo com o contrato estabelecidopara os serviços do sistema PEN.

Outro fator importante que será observado neste guia é quanto a abertura dos chamadostécnicos e os níveis de severidade nos casos de necessidade de utilização desses serviços. Oprovedor de Nuvem terá que disponibilizar uma aplicação através de um portal WEB contendoas seguintes informações: "Número", "Data e Hora da Abertura", "Status" (aberto/fechado),"Responsável pela Abertura", "Técnico Encarregado do Atendimento", "Descrição do Problema","Histórico" (data/hora e descrição), "Ocorrências" (data/hora e descrição), “Nível de Severidade”(baixo, médio, alto e crítico) e deverão ser de uso único e exclusivo dos órgãos da APF.

Em relação aos níveis de severidade, os chamados deverão ser classificados de acordocom as seguintes categorias:

Nível de Severidade Descrição do Problema

1 Crítico

Erro ou problema com impacto crítico no negócio, causandoriscos financeiros, regulatórios, de produtividade, de segurançaou de reputação. Impossibilidade de uso do sistema(ex.: perda total de conectividade e/ou funcionalidade, travamento).

2 Alto

Erro ou problema sensível em termos de tempo, que afeta onegócio significativamente, mas não impede o uso da solução(ex.: perda parcial de conectividade e/ou funcionalidade).Funcionalidades / serviços essenciais comprometidos,mas com solução de contorno.

3 Médio

Perda parcial ou limitada de funcionalidade não-crítica, com osserviços fundamentais disponíveis (ainda que por solução de contorno).Problema ou inconsistência que não interfere diretamente nas tarefasdiárias.

4 Baixo Erro, problema ou dúvidas com impacto mínimo no negócio.Tabela 4.4: Níveis de Severidade para chamados técnicos

Depois de definidos os níveis de severidade, os provedores de serviços em Nuvem terãoos seguintes prazos para apresentarem a solução definitiva dos problemas apresentados:


Prazo de solução definitivaCrítico Alto Médio Baixo

1 (uma) hora corrida 2 (duas) horas corridas 4 (quatro) horas corridas 2 (dois) dias úteisTabela 4.5: Prazos para solução definitiva

Com as atribuições e escopo bem definidos em relação aos SLAs que serão cobrados aosprovedores de serviços em Nuvem espera-se obter o nível de porcentagem de disponibilidademensal de pelo menos 99,8%, além dos atendimentos de chamados técnicos dentro dos prazosdesejáveis conforme descrito na Tabela 4.5.

4.3.2 Boas Práticas para o Cálculo da Bilhetagem Básica na Tarifação daComputação em Nuvem

Como o foco deste trabalho não é definir qual será a forma de tarifação ou ainda aaplicação que será utilizada para medir e cobrar pelo uso dos recursos computacionais hospedadosem Nuvem, optou-se então por definir quais são as métricas mais importantes a serem analisadaspara a formulação de uma equação de bilhetagem básica das máquinas virtuais em um ambientede Computação em Nuvem.

De acordo com MELL; GRANCE (2011) uma das principais características da Com-putação em Nuvem é justamente pagar somente por aquilo que foi utilizado, então para aconstrução da equação de bilhetagem serão analisados itens como:

� Memória (mem);

� Processamento (cpu);

� Disco (disk);

� Tempo (time);

� Custo (rate);

� Consumo (sum);

A equação para bilhetagem básica consiste em coletar os dados relativos a quantidadede utilização de memória, processamento e uso de disco em uma máquina virtual e atribuir umvalor de custo fixo por utilização, para então conseguir extrair o valor total de utilização fixadoem Reais (R$) de um determinado período. O método que foi utilizado para elaboração destaequação foi baseado no trabalho de SILVA (2013), devido ao fato de demonstrar uma formasimples de calcular a bilhetagem para ambientes de Computação em Nuvem. Após a definiçãodos principais parâmetros, a equação de bilhetagem pode ser demonstrada da seguinte maneira:

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARACONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF 70dec {cpu_sum, cpu_rate, mem_sum, mem_rate, disk_sum, disk_rate, used_time } incalc {fixed_cpu_sum = 100, fixed_mem_sum = 100, fixed_disk_sum = 100,fixed_time = 3600} intotal{cpu_rate/((fixed_cpu_sum/cpu_sum)*(fixed_time/used_time)) +mem_rate/((fixed_mem_sum/mem_sum)*(fixed_time/used_time)) +disk_rate/((fixed_disk_sum/disk_sum)*(fixed_time/used_time))}

Nesta equação são atribuídos percentuais fixos de (100%) para o consumo de proces-samento, memória e disco, em um período de tempo fixo de utilização de uma hora (3600s),para que a partir daí seja calculado o custo efetivo de utilização nesse período, bastando apenasatribuir um valor em Reais (R$) ao custo fixo de utilização (rate) em cada um dos itens (cpu,mem, disk).

A utilização desta equação pode oferecer de uma forma mais detalhada a relação entre oconsumo dos recursos de Computação em Nuvem de um domínio/conta e o custo da utilizaçãodesses recursos com o valor cotado em Reais (R$). Através de uma planilha de custos mais bemelaborada a APF poderá bloquear novas demandas baseadas em um orçamento anual pré-definido,ou seja, ao atingir 100% dos recursos financeiros, emitir alerta por e-mail para o administradordo domínio/conta de consumo do orçamento, ou ainda quando o consumo estiver entre 80% e90%, emitir relatório mensal contendo os gastos e disponibilizando a fatura para o pagamento doserviço.

O objetivo desta equação é justamente simplificar a forma de calcular o preço a ser pagopelos recursos computacionais em Nuvem, baseando-se apenas na utilização de cpu, memóriae disco. A próxima seção irá demonstrar os critérios de como essas 3 (três) métricas irão sermonitoradas pelos provedores de Nuvem.

4.3.3 Boas Práticas para o Gerenciamento e Monitoramento dos RecursosComputacionais na Computação em Nuvem

A proposta do catálogo com as recomendações para parte de monitoramento consistiráem estabelecer quais métricas serão monitoradas para os serviços e aplicações hospedadasem provedores de serviços de Nuvem para o sistema PEN, além de estabelecer uma forma degerenciamento centralizado, através de uma interface WEB, com o fornecimento de dashboards

para realizar o monitoramento dos recursos computacionais de forma automatizada. Comoproposta para o sistema de processo eletrônico PEN serão observados os seguintes recursos emétricas:

� Monitoramento e armazenamento de Logs: Neste item os provedores de Nuvemserão responsáveis por monitorar e coletar os dados de logs de aplicações e máquinasvirtuais com os respectivos sistemas operacionais que hospedam o sistema PEN,


todos em tempo real. Esses logs servirão para a tomada de decisões em caso denecessidade de solucionar problemas, como a necessidade de aumentar ou diminuiros recursos computacionais dos sistemas e aplicações que fazem parte do sistemaPEN.

� Monitoramento dos recursos de máquinas virtuais: Aqui os provedores de Nu-vem serão responsáveis por monitorar as métricas como: uso de disco de instânciada máquina virtual, utilização de processamento CPU e memória RAM, alémdo volume de transferência de dados utilizados nos serviços de armazenamento emáquinas virtuais que hospedam o sistema PEN. O acompanhamento em tempo realdessas métricas serão importantes para a tomada de ações que serão definidas com osalertas a serem customizados nos serviços de gerenciamento e monitoramento.

� Definição de alertas: Nesta parte os provedores de Nuvem serão responsáveis portomar ações baseadas em critérios pré-definidos de acordo com os alertas originadosde qualquer uma das métricas especificadas para as máquinas virtuais, com a intençãode enviar informações ao e-mail dos administradores de rede, ou ainda dar o start detarefas automatizadas. Para o sistema PEN serão atribuídos os critérios da Tabela 4.6para a realização de tarefas automatizadas. Estes alertas também serão enviadosautomaticamente aos e-mails dos responsáveis de TI do órgão da APF para análise etomada de decisões em projetos futuros.

Porcentagem de utilização Ação a ser tomada>= 90% CPU Incrementar 15% da capacidade atual>= 90% Mémoria RAM Incrementar 20% da capacidade atual>= 85% Armazenamento Incrementar 15% da capacidade atual

Tabela 4.6: Definição de alertas e ações no gerenciamento de recursos

Os alertas serão os responsáveis por dar o start na automatização dos recursoscomputacionais em provedores de Nuvem de acordo com a porcentagem de utilização.Para atender ao sistema PEN será realizado o incremento de processamento CPU em15%, quando a porcentagem de utilização estiver maior ou igual a 90%, aumento de20% na memória RAM, quando a sua capacidade estiver maior ou igual a 90%, e porúltimo haverá um incremento no armazenamento de 15%, quando a sua capacidadeatual estiver maior ou igual a 85%.

� Visualização de Gráficos e Estatísticas: Neste o item os provedores de serviçosem Nuvem ficarão responsáveis por fornecer uma aplicação baseada em WEB parafornecer os painéis ou dashboards, que permitirão a criação de gráficos reutilizáveiscom os recursos e métricas personalizados nas etapas de monitoramento dos recursoscomputacionais em Nuvem. Estes gráficos vão disponibilizar em tempo real o status

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COMCONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 72

operacional dos serviços e aplicações, além de identificar os problemas de formabastante ágil. Para o sistema PEN os dados das métricas serão mantidos por umperíodo de um mês, possibilitando a visualização através de um relatório todos osdados e históricos de alteração daquele período.

O monitoramento e gerenciamento são um dos principais assuntos a serem tratadosquando existem grandes infraestruturas de Datacenters e não poderia ser diferente em ambientesde Computação em Nuvem. Com a proposta deste catálogo espera-se monitorar os principaisrecursos de TI que forem utilizados pelo sistema PEN de uma forma bem detalhada, com apossibilidade de tomadas de decisões mais bem sucedidas e que estejam focadas principalmentenos problemas evidenciados nas métricas de monitoramento.

O Catálogo de Boas Práticas se finaliza com esta seção de monitoramento e gerencia-mento dos serviços de Computação em Nuvem que fazem parte da proposta de implantação dosistema PEN nos órgãos da APF. A próxima seção vai fazer uma análise comparativa do escopode abrangência do catálogo com alguns editais de contratações de Computação em Nuvem emórgãos públicos.

4.4 Análise Comparativa do Catálogo de Boas Práticas comContratações de Computação em Nuvem em Órgãos Públi-cos

Nesta seção foi realizada a busca de editais que contenham termos de referência decontratações de serviços de Computação em Nuvem. A busca foi realizada por meio do portal decompras do Governo Federal conhecido como Comprasnet6. Nessa busca foram escolhidos ostrês órgãos públicos que vão fazer parte da análise comparativa com o catálogo proposto.

Como forma de validar a capacidade técnica proposta no Catálogo de Boas Práticasserá demonstrada uma tabela com a análise comparativa do catálogo com os três editais decontratação de serviços de Computação em Nuvem em órgãos públicos. Os itens que foramanalisados são descritos como uma síntese dos critérios técnicos encontrados no termo dereferência de cada um desses editais. Os editais de contratações foram postados no repositóriodigital do GITHUB (2016) e fazem parte dos seguintes órgãos públicos:

� USP - Universidade de São Paulo

� PGR - Procuradoria Geral da República

� FINEP - Empresa Pública Financiadora de Estudos e Projetos do Governo

A Tabela 4.7 demonstra quais foram os critérios que foram analisados com a marcaçãode atende ou não atende em cada um dos três órgãos públicos e também para o Catálogo:

6http://www.comprasgovernamentais.gov.br/


Critério Analisado USP PGR FINEP CATÁLOGOCerficação ISO 27001 X XCerficação TIER 2 X XCertificação SOC 2 XCertificação ISO 9001 XSolução de Firewall X X X XDetecção de Ataques WEB XComunicação de dados por meio de VPN X X X XGerenciamento de identidades integradaa Comunidade Acadêmica Federada (RNP) X X

Registro de Operações (logs de auditoria) X XNíveis de controle de acesso aos dadosde acordo com perfil do usuário X

Ambientes de Hypervisors com suportea atualizações X X X X

Integração de Ambientes Virtualizadoscom fibra óptica X X

Ambiente tolerante a falhas e com altadisponibilidade X X X

Possuir Site Backup em local remoto X X XAtualização de firmware de equipamentos X X XTreinamento avançado do ambientevirtualizado X X X

Homologação do ambiente de produção X X XPossuir Níveis de Acordo de ServiçoSLAs X X X X

Suporte Técnico ON SITE 24 X 7 X X XClassificação de chamados técnicosbaseado em níveis de severidade X X X

Aplicação de penalidades baseadas noSLA X X X X

Sistema ONLINE para consulta dosstatus dos chamados técnicos X X X

Equação de bilhetagem básica baseadano consumo dos recursos computacionais X X

Gestão financeira do Domínio/Contabaseado no consumo dos recursos X X

Monitoramento de logs das máquinasvirtuais X

Monitoramento dos recursoscomputacionais das máquinas virtuais X X X X

Definição de alertas dos recursoscomputacionais automatizados X

Sistema ONLINE com os gráficos eestatísticas do ambiente em nuvem X

Tabela 4.7: Tabela Comparativa de Contratações de Computação em Nuvem


Em um primeiro momento foi analisada a importância das certificações que são relevantespara as contratações de serviços de Computação em Nuvem. A certificação ISO 27001 é apadronização que trata sobre as normas internacionais de segurança da informação, contribuindocom um conjunto de requisitos, processos e controles para mitigar os riscos de segurança emuma organização. A ISO 27001 garante que:

� Os riscos e ameaças do negócio sejam gerenciados e avaliados de forma detalhada;

� Os processos relacionados à segurança física sejam aplicados de forma consistentecom o acesso totalmente restrito;

� Auditorias sejam realizadas periodicamente em cada local, incluindo os testes desegurança, bem como o planejamento e monitoramento do local;

� Seja disponibilizada uma descrição detalhada da metodologia de análise/avaliaçãodos riscos de segurança da informação;

Esta é um certificação de grande relevância para os provedores de Computação emNuvem, pois a segurança da informação é uma das principais preocupações da área de negócio,onde a informação é o bem mais valioso a ser resguardado em uma organização. Esse critério daISO 27001 foi abordado no edital da FINEP e no catálogo como sendo um item obrigatório aser cumprido em contratações de Computação em Nuvem. Esta certificação vai garantir umamaior credibilidade e confiabilidade em relação ao cumprimento das normas internacionais desegurança da informação em órgãos públicos por parte dos provedores.

Já os órgãos USP e PGR não se preocuparam em detalhar a obrigatoriedade da certifi-cação ISO 27001 por parte dos provedores de Computação em Nuvem. A falta deste critériopode vir a prejudicar consideravelmente os serviços prestados pelos provedores em relação aosprocessos e requisitos de segurança da informação que são impostos pela legislação Brasileira.Além disso uma falha na segurança da informação pode colocar em risco a credibilidade dasinformações prestadas pelos diversos órgãos públicos pertencentes a APF.

O padrão de classificação TIER 2 é o responsável por descrever os requisitos mínimosnecessários em uma infraestrutura de Datacenter, onde todos os equipamentos que fazem partedo Datacenter e da operadora de telecomunicações terão que ter módulos redundantes com nomínimo de N+1. A redundância será aplicada a equipamentos como roteadores, ar condicionados,fontes de energia, UPS, Nobreaks, grupo gerador, switchs, servidores, dentre outros. Este itemé de extrema importância para garantir a alta disponibilidade dos equipamentos em grandesinfraestruturas de Computação em Nuvem.

Somente o órgão FINEP e o catálogo detalharam a necessidade da obrigatoriedadeda certificação TIER 2. Esse item assegura uma infraestrutura de TI mais confiável com acorreta operação dos equipamentos de Datacenter, além de minimizar os riscos de downtime

quando ocorrer falha em outro equipamento com as mesmas características. Este critério e de

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COMCONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 75grande importância para se conseguir a alta disponibilidade nos Datacenters que fazem parte dosprovedores de Computação em Nuvem.

Os órgãos USP e PGR não especificaram em seus termos de referência o atendimento aopadrão de classificação TIER 2. Este detalhe pode influenciar de forma negativa na qualidadedos serviços prestados pelos provedores de Computação em Nuvem, pois eles podem oferecerDatacenters que não possuem equipamentos em redundância e, em caso de falha em um dosequipamentos, os sistemas e aplicações podem ficar comprometidos com a demora na substituiçãodos itens afetados, e assim prejudicar consideravelmente os sistemas e aplicações que dizemrespeito a área de negócio.

O padrão SOC 2 é o responsável pela auditoria e emissão dos relatórios sobre os controlesem organizações de serviços relevantes para segurança como: disponibilidade, integridade doprocessamento, confidencialidade e privacidade dos dados que são destinados ao uso pelas partesinteressadas da área de negócios. Esses relatórios são utilizados para que se obtenha um completacompreensão da organização de serviços e seus controles internos. Os relatórios são compostospor itens como:

� Supervisão da organização;

� Programa de gerenciamento de fornecedores;

� Processos internos de governança corporativa e gerenciamento de riscos;

� Supervisão regulamentar;

Em relação ao padrão SOC 2 somente o catálogo identificou a necessidade de atendi-mento aos padrões de auditoria. Os relatórios disponibilizados pela auditoria no SOC 2 sãomuito importantes para que o gerenciamento e supervisão dos equipamentos disponibilizados emuma infraestrutura de Datacenter em provedores de Computação em Nuvem estejam realmentealinhados com todas as estratégias que são planejadas pela área de negócio, fazendo com que aspropostas da governança corporativa sejam seguidas a risca pelos provedores de nuvem. Nesteponto os três órgãos deixaram a desejar, pois podem correr o risco de que os processos internosque estão sendo executados na prática não estejam alinhados com a real necessidade planejadapela área de negócios, prejudicando assim os principais objetivos institucionais.

A norma ISO 9001 é um sistema de gestão de qualidade que tem o propósito de desen-volver padrões de "melhoria contínua" para serem utilizadas em todos os países do mundo. Seuprincipal objetivo é manter um portfólio de serviços que permitam uma constante melhoria dedesempenho devido a sua implementação. São vários os benefícios que podem ser conseguidoscom a gestão de qualidade adotados na ISO 9001, dentre esses podemos citar alguns principais:

� Um melhor desempenho operacional;

� Uma melhor gestão da qualidade para atender às necessidades dos clientes;


� Ampliar as oportunidades de negócios ao demonstrar conformidade com o sistema;

� Maneiras mais eficientes de trabalhar para economizar tempo, dinheiro e recursos;

No critério relacionado a certificação ISO 9001 somente o catálogo se preocupou emdefinir a obrigatoriedade de atender aos padrões exigidos no sistema de gestão de qualidade daISO 9001. Como este é um padrão internacional que se preocupa constantemente na melhoria dagestão de qualidade com o objetivo de adotar processos mais eficientes na forma de trabalhar, ficaevidente a importância de se realizar práticas de melhorias na gestão por parte dos provedoresde Computação em Nuvem. Com o atendimento aos padrões de qualidade relacionados na ISO9001 os resultados esperados em órgãos públicos no consumo de serviços de Computação emNuvem podem refletir em vantagens como a economia de dinheiro, tempo e recursos.

Os órgãos FINEP, PGR e USP não definiram em seus editais de contratação a obrigaçãoda certificação do sistema de gestão de qualidade com a ISO 9001 aos provedores de Computaçãoem Nuvem. Esse detalhe pode impactar negativamente na melhoria do desempenho operacional,além de reduzir as oportunidades de crescimento da área de negócio. Sem a aplicabilidade da ISO9001 não será possível adotar processos que sejam mais eficientes na prestação de serviços porparte dos provedores de Computação em Nuvem. O não cumprimento desta ISO também podeocasionar uma deficiência na gestão dos recursos de TI, impossibilitando assim uma possívelredução de custos aos órgãos públicos.

Outro critério analisado foi em relação à detecção de ataques do tipo WEB por parte dosprovedores de Computação em Nuvem. Apesar de todos os três órgãos apresentarem soluçõesde firewall em seus termos de referência, somente o catálogo descreveu a obrigatoriedade dadetecção de ataques WEB, como os relacionados a seguir:

� Violações do protocolo HTTP;

� SQL Injection;

� Cross-Site Scripting (XSS);

� Buffer Overflow;

� OS Command Execution;

� Remote Code Inclusion;

� Server Side Includes (SSI) Injection;

� Scanners de vulnerabilidade Web e Crawlers;

� Worms e Web Shell Backdoors;

� Denial of Service Attack (DDOS);


Esses ataques podem afetar diretamente na prestação dos serviços disponibilizados pelosprovedores de Computação em Nuvem. A detecção destes tipos de ataque é bastante relevantepara a construção das regras de firewall a serem aplicadas e também para a prevenção no caso deocorrências de novos ataques com as mesmas características. A detecção dos ataques tambémpode ser uma forma de se programar para antecipar novos tipos de ataques, tomando as decisõesbaseadas nos registros de ataques que já ocorreram.

Diante desta realidade que demonstra a fragilidade dos órgãos FINEP, PGR e USPem relação a detecção de ataques do tipo WEB fica evidente alguns dos principais motivosque podem vir a comprometer a parte relacionada à segurança da informação dos serviços deComputação em Nuvem prestados aos órgãos públicos. A falta da detecção destes ataques podeprejudicar consideravelmente a usabilidade e a confiabilidade dos serviços e aplicações de TIhospedados em provedores de Computação em Nuvem.

O próximo passo foi analisar o critério de gerenciamento de identidades integrada acomunidade acadêmica7 federada da RNP. As instituições que fazem parte da CAFe tem apossibilidade de atuar como provedoras de serviços (SP) e provedoras de identidades (idP). ACAFe possibilita que cada usuário tenha uma conta única em sua instituição de origem, válidapara todos os serviços oferecidos à federação, eliminando a necessidade de múltiplas senhasde acesso e processos de cadastramento. A RNP é a responsável pela gestão do serviço e pormanter o repositório centralizado com dados sobre integrantes da federação.

Somente o órgão USP e o catálogo se preocuparam em apresentar esse importantedetalhe técnico em seus documentos de contratação. Esse serviço é extremamente necessáriopara a padronização e segurança do serviço de autenticação centralizada de vários tipos deserviços que são prestados aos órgãos públicos da APF. Com o mesmo login de rede o usuáriopode autenticar-se em vários tipos de serviços, inclusive no próprio sistema de PEN propostoneste trabalho, eliminando assim um sistema de autenticação heterogêneo e com várias senhas aserem lembradas e/ou armazenadas.

Os órgãos FINEP e PGR correm o risco de não usufruírem deste tipo de serviço prestadopela RNP, ficando impossibilitados de serem seus próprios provedores de identidades e serviços.A falta desta especificação pode ocasionar a necessidade do desenvolvimento de sistemas eaplicações que serão responsáveis por prestar este tipo de serviço de autenticação. Com estádemanda extra pode-se gerar mais gastos com pessoal e infraestrutura de TI que seriam até entãodesnecessárias com o uso da CAFe.

Em paralelo ao serviço de gerenciamento de identidades foi analisado o serviço decontrole de acesso aos dados que serão armazenados em provedores de Computação em Nuvemde acordo com o perfil do usuário. Somente o catálogo se preocupou em detalhar esse itemem sua proposta de contratação. Essa especificação técnica garante que cada usuário ou grupode usuários tenham somente as permissões necessárias de acordo com o perfil atribuído pelaalta gestão dos órgãos pertencentes a APF. O perfil será atribuído de acordo com as seguintes

7https://portal.rnp.br/web/servicos/cafe

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COMCONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 78permissões:

� Create: Permite a criação e atualização de novos arquivos digitais.

� Store: Permite o armazenamento dos arquivos digitais.

� Use: Permite a visualização, processamento e utilização dos arquivos por algum tipode aplicação.

� Share: Permite o compartilhamento dos dados entre os usuários, clientes, ou par-ceiros.

� Archive: Permite o armazenamento dos arquivos a longo prazo.

� Destroy: Permite a destruição permanente utilizando de algum meio físico ou digital.

Por meio desta funcionalidade um usuário ou grupo de usuários somente vai poder criar,alterar, compartilhar, armazenar, arquivar ou destruir um arquivo digital se essa permissão foratribuída ao mesmo. É muito importante para a parte de gestão de segurança da informaçãoatribuir níveis de acesso aos dados armazenados em provedores de Computação em Nuvemjustamente para evitar acessos indevidos ou desnecessários. Nesse critério os órgãos FINEP,PGR e USP falharam com a falta de detalhamento nos termos de referência. Esse detalhe podeocasionar grandes falhas de segurança nos arquivos digitais que são armazenados em provedoresde nuvem, pois um mesmo usuário poderá ter acesso a vários tipos de arquivos confidenciais ouaté mesmo destruí-los sem a permissão dos responsáveis pela alta gestão dos órgãos da APF.

Na análise relacionada ao ambiente de virtualização foi verificado se os editais contem-plavam a obrigatoriedade do ambiente ser tolerante a falhas e com alta disponibilidade. Nessecritério os dois órgãos FINEP e PGR, como também o catálogo, indicaram em seus termos dereferência que é necessário que o ambiente de Computação em Nuvem fosse preparado paradisponibilizar essas duas características.

A alta disponibilidade é um recurso que monitora continuamente todos os servidorespertencentes a um cluster no Datacenter para que quando ocorrer a falha em um desses servidoresas máquinas virtuais e aplicações são automaticamente migradas para outro servidor pertencenteao cluster com o mínimo de tempo de inatividade. De acordo com o datasheet8 da VMware aalta disponibilidade pode apresentar as seguintes vantagens:

� Minimizar o tempo de inatividade e a interrupção dos serviços de TI, eliminandotambém a necessidade de hardware dedicado em standby e instalação de softwareadicional;

� Fornecer alta disponibilidade uniforme em todo o ambiente de TI virtualizado, sem ocusto ou a complexidade das soluções de failover associadas a sistemas operacionaisou aplicativos específicos;

8https://www.vmware.com/files/br/pdf/products/07Q3_VM_HA_DS_BR_A4.pdf


Já no recurso de tolerância a falhas é feita uma cópia idêntica da máquina virtual queestá em produção, sendo que a segunda fica totalmente sincronizada com a primeira máquinavirtual e, em caso de falha da máquina em produção automaticamente a segunda assume semnenhum tipo de downtime, ou seja, a máquina réplica assume a função da principal sem nenhumtempo de inatividade ou interrupção.

Os recursos de alta disponibilidade e tolerância a falhas são indicados para sistemas demissão critica, onde não é permitido nenhum tipo de falha ou interrupção dos serviços. Diantedestas características fica evidente a necessidade de se utilizar esses recursos nos ambientes desistemas e aplicações de TI da APF, onde todos os sistemas tem que ficar disponíveis nas 24 horasdo dia e nos 7 dias da semana. Apenas o órgão USP não detalhou a necessidade desses recursosem seu termo de referência, e a principal consequência ocasionada por esse descuido pode serrefletido em longos períodos de indisponibilidade dos serviços e aplicações de TI prestados pelosórgãos públicos.

Outro detalhe importante que foi analisado está relacionado ao treinamento avançadodo ambiente virtualizado e com a homologação do ambiente de produção. Todos os três órgãosFINEP, PGR e USP se preocuparam em definir que é necessário o treinamento da equipe de TI etambém a homologação do ambiente de produção. Já o catálogo demonstrou uma falha quanto aesses critérios por não especificar a importância desses itens em sua documentação.

Existem diversas maneiras de se gerenciar um ambiente virtualizado, onde as ferramentasque dão suporte a essa tecnologia estão sempre sofrendo novas atualizações, adicionando maisopções de configuração, novas tendências e, ao mesmo tempo, tornando outras ferramentasultrapassadas. Portanto, é imprescindível que a equipe de TI esteja apta para lidar com asnovidades tecnológicas e tendências, e para realizar tal tarefa é necessário o investimento emcapacitação e treinamento da equipe para se ter o domínio das ferramentas mais modernas,proporcionando melhores resultados e soluções inovadoras.

Diante deste cenário fica bem claro a vantagem que os órgãos FINEP, PGR e USPtiveram em relação ao catálogo, pois todos os três se preocuparam em descrever a necessidade dotreinamento avançado do ambiente virtualizado, proporcionando assim a vantagem de capacitara equipe de TI no ambiente que será colocado em produção com a possibilidade de utilizar todosos recursos disponíveis na ferramenta em todos os sistemas e aplicações de TI dos diversosórgãos públicos da APF.

Depois de realizado todo o treinamento do ambiente virtualizado faz-se necessário asimulação de um ambiente de testes que seja o mais próximo possível do que será colocado emprodução. Esse ambiente é utilizado para fazer vários tipos de testes das ferramentas e aplicaçõesde TI que fazem parte da solução com o intuito de saber se tudo está acontecendo dentro dospadrões esperados. O ambiente de homologação é um ambiente onde o órgão deverá testar todasas funcionalidades do sistema que serão posteriormente colocadas em produção ou refeitas, casonão ocorra à aprovação por parte deste órgão.


Neste caso novamente os órgãos FINEP, PGR e USP foram bastante criteriosos e sepreocuparam em detalhar a necessidade de homologação do ambiente de produção em seusdevidos termos de referência, e somente o catálogo deixou a desejar não contemplando esteitem em sua documentação. Uma das principais vantagens de se ter um ambiente homologado éjustamente para evitar possíveis problemas com inconsistências do sistema quando o mesmo jáestiver em produção.

Nesta seção também foi feita a análise sobre os níveis de acordo de serviços SLA (Service

Level Agreement) descritos nos contratos das soluções de Computação em Nuvem. Neste itemtodos os órgãos FINEP, PGR e USP, como também o catálogo, demonstraram a preocupação edescreveram a necessidade de implementar os SLAs. Entretanto, apenas o órgão USP falhou emnão detalhar os critérios que seriam cobrados no atendimento do suporte técnico em seu termode referência.

De uma maneira mais objetiva um SLA deve ser o responsável por especificar, em termosmensuráveis e claros, quais os serviços e o suporte que o fornecedor terá que oferecer até o finaldo contrato. A partir dele são estabelecidas metas de nível de serviço, prazos contratuais e termosde compromisso que ajudam o contratante a monitorar o trabalho realizado pelo contratado.

Os órgãos FINEP, PGR e o catálogo se preocuparam com os mínimos detalhes que sãoextremamente importantes nesse tipo de contratação. Nesses casos o suporte técnico tem queser do tipo ON SITE com o atendimento nas 24 horas do dia e nos 7 dias da semana. Esse itemé essencial para as contratações de serviços de Computação em Nuvem nos órgãos da APF. Éjustamente esse tipo de suporte que vai garantir o correto funcionamento dos equipamentos emcasos extremos de reparos técnicos que estão compreendidos fora dos horários comerciais etambém nos finais de semana.

Outro detalhe importante que foi contemplado pelo FINEP, PGR e o catálogo foi emrelação ao tempo de atendimento dos chamados técnicos de acordo com os níveis de severidade.No documento foi estabelecido os tempos de atendimento de acordo com a gravidade do chamado.Os níveis de severidade foram categorizados da seguinte maneira:

� Crítico: Erro ou problema com impacto crítico que afeta diretamente no negócio;

� Alto: Erro ou problema sensível em termos de tempo;

� Médio: Perda parcial ou limitada de funcionalidade não crítica;

� Baixo: Erro, problema ou dúvidas com impacto mínimo no negócio;

A classificação em níveis de severidade é importantíssimo para dar prioridade aoschamados mais importantes da área de negócio. Como exemplo podemos citar os sistemas eaplicações de missão crítica que necessitam estar disponíveis aos usuários em tempo integral.Nesses casos que são necessários os atendimentos dos chamados técnicos será garantido umtempo máximo para o reparo definido de acordo com os critérios estabelecidos nos SLAs. Nessa

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COMCONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS 81comparação o órgão USP apresentou uma grande falha deixando de especificar os níveis deseveridade em seu termo de referência. Esse detalhe pode resultar em atrasos no atendimento dechamados de grande prioridade que pode afetar diretamente a área de negócio, além de priorizarsituações onde o nível de severidade é mais baixo do que outros que estão na mesma fila deespera.

O próximo critério analisado foi em relação a especificação da forma de bilhetagemdos recursos computacionais utilizados em provedores de Computação em Nuvem. Neste itemsomente o órgão USP e o catálogo definiram em suas respectivas documentações a importânciade se apresentar um método de tarifação desses recursos. É extremamente importante o detalha-mento da utilização dos recursos computacionais que realmente são necessários para calcular osgastos em Reais(R$) de um domínio/conta do órgão público.

A vantagem de elaborar uma equação de bilhetagem é justamente para contribuir naconstrução de uma planilha de custos dos recursos computacionais mais bem elaborada, ondea APF poderá bloquear novas demandas baseadas em um orçamento anual pré-definido, ouseja, ao atingir 90% dos recursos financeiros, emitir alerta por e-mail para o administrador dodomínio/conta de consumo do orçamento, ou ainda quando o consumo estiver entre 80% e 90%,emitir relatório mensal contendo os gastos e disponibilizando a fatura para o pagamento doserviço.

Além destas vantagens ressalta-se que na Computação em Nuvem os serviços prestadossão pagos de acordo com a sua real utilização. Essa característica deixa mais evidente anecessidade da definição de quais critérios e recursos realmente serão utilizados para o cálculodo pagamento dos serviços. Os órgãos FINEP e PGR foram falhos em não apresentar os critériosde bilhetagem em seus termos de referência. Esta deficiência pode impactar negativamente nasfinanças dos órgãos públicos, com a possibilidade de gastos mais elevados pela utilização dosrecursos, ocasionados principalmente pela falta de uma correta metodologia de cálculo por partedos provedores de Computação em Nuvem.

Para finalizar a comparação foi analisado o critério relacionado ao monitoramento egerenciamento dos recursos computacionais exigidos nos editais de contratação dos serviçosde Computação em Nuvem. Neste item todos os órgãos USP, FINEP e PGR, como também ocatálogo foram capazes de descrever a necessidade e importância do monitoramento dos recursoscomputacionais. Entretanto, apenas o catálogo se preocupou em implementar critérios de alertasbaseados no consumo dos recursos computacionais em nuvem como forma de automatizar oincremento dos recursos sem a necessidade de intervenção humana.

Esses alertas são os responsáveis por automatizar o processo de provisionamento dosrecursos computacionais em provedores de Computação em Nuvem de acordo com a porcen-tagem de utilização de cada recurso. A grande vantagem que se pode obter com a utilizaçãodestes alertas é justamente em dispensar a intervenção humana (como o trabalho de Analistas eTécnicos de TIs) em processos que sejam necessários para a alocação de mais recursos computa-cionais para atender as demandas que surgem de forma emergencial. Esses alertas foram criados


somente na documentação apresentada no catálgo. Neste quesito os três órgãos FINEP, PGR eUSP deixaram a desejar com a falta de especificação de critérios utilizados para a automação derecursos nos casos de necessidade de escalabilidade do ambiente de Computação em Nuvem.

O principal objetivo desta análise comparativa entre o catálogo e os três órgãos públicosFINEP, PGR e USP, foi a de demonstrar por meio de uma visão mais crítica os principais itens aserem observados e que podem beneficiar de forma estratégica novos editais de contratações deserviços de Computação em Nuvem, como também apresentar as principais falhas detectadas naelaboração dos editais e termos de referência projetados por Gestores de TI em exercício nosórgãos pertencentes à APF.

Por meio de uma análise mais ampla entre os termos de referência dos três órgãos e ocatálogo conclui-se que o catálogo atende praticamente na totalidade dos critérios analisados daTabela 4.7. Além do alto percentual de atendimento nas comparações, ele fornece na maioria dasvezes critérios que são apresentados de forma mais detalhada e que são específicos e de extremaimportância para contratações de serviços de Computação em Nuvem.


Este capítulo apresentou uma proposta contendo o Catálogo de Boas Práticas com asprincipais diretrizes a serem seguidas pelos órgãos da APF em contratações de serviços deComputação em Nuvem com o objetivo de prover uma infraestrutura de TI adequada para aimplantação do sistema PEN. Esta proposta contou com a elaboração das boas práticas rela-cionadas à Governança de TI, Segurança da Informação, contratos de níveis de serviço (SLAs),equação de bilhetagem básica e monitoramento dos recursos computacionais nas contratações deserviços de Computação Nuvem. Além da apresentação da proposta foi realizada uma análisecomparativa entre o escopo de atendimento do catálogo e os termos de referência de três órgãospúblicos FINEP, PGR e USP.

O próximo capítulo vai abordar as considerações finais do trabalho, com a conclusão, aslimitações e os possíveis trabalhos futuros que poderão permitir a continuidade da pesquisa.

838383

5CONSIDERAÇÕES FINAIS

Este capítulo apresenta as informações acerca das conclusões, contribuições e recomen-dações para trabalhos futuros.

5.1 Conclusão

Neste trabalho de pesquisa ficou bastante evidente as dificuldades encontradas pelosGestores de TI em relação a parte de Governança de TI. Foi identificado que esses gestores queatuam na APF tem que se desdobrar em várias funções que não são exatamente as atribuiçõesde seu cargo como, por exemplo, desempenhar a função de Analista de TI e essa função extraexige um grande esforço de concentração com um alto nível de complexidade na execução detarefas rotineiras, como a de programação de sistemas e administração de redes de computadores.Essas tarefas extras prejudicam as suas reais atribuições como Gestores de TI, que são a deplanejar e governar a infraestrutura de TI de acordo com o planejamento estratégico institucionalelaborados pela alta direção da APF.

Os impedimentos em novas contratações de soluções de TI na APF estão relacionadosprincipalmente aos motivos de restrições orçamentárias e ao processo extremamente burocráticoenfrentados pelos Gestores de TI. As restrições orçamentárias são ocasionadas por cortes noorçamento público gerados no Governo Federal ao longo do ano. Essas restrições financeirassão responsáveis por prejudicar o andamento da execução dos projetos de TI elaborados pelosgestores de TI da APF.

Em relação as causas dos impedimentos gerados pelo processo burocrático, os entravessão ocasionados pelas normas a serem cumpridas que são impostas pela legislação brasileira.Dentre essas normas podemos citar as duas principais legislações que regulam a TI na APF:A Instrução Normativa no 4 de 2014 que dispõe sobre o processo de contratação de soluçõesde TI na APF, e a lei no 8.666/93 que é a responsável por instituir as normas para licitações econtratos na APF. Essas normas são as que tornam o processo de contratação de soluções deTI burocráticos, podendo gerar atrasos que perduram por vários meses ou, em alguns casos,ultrapassam anos para serem concluídos.

5.1. CONCLUSÃO 84

Outro fator que preocupa os Gestores de TI diz respeito ao quantitativo da equipe detrabalho disponível para executarem as demandas por serviços de TI na APF. Praticamente todosos gestores tem o quadro de pessoal de TI bastante reduzido e isso prejudica bastante a qualidadena prestação de serviços a população em geral, pois de acordo com a pesquisa essa carência depessoal é responsável pelo atraso na entrega das demandas por serviços de TI. Esses serviçosdemoram em média de seis meses a um ano para serem executados e ficarem disponíveis comouma solução a ser utilizada na APF. Essa demora pode prejudicar ou até mesmo impossibilitar aimplantação do sistema PEN durante os dois anos que foram declarados no Decreto no 8.539.

O processo de aquisição de ativos de redes e licenças de software é bastante demoradona APF. O tempo que é utilizado durante todo o processo fica entre um a dois anos e esse tempoé muito longo para atender às demandas mais urgentes, prejudicando consideravelmente o tempode implantação do sistema PEN para a APF. A questão do tempo gasto na aquisição dos ativos elicenças também é um fator preponderante que acaba por prejudicar a qualidade e eficiência naprestação dos serviços de TI em geral, prestados pela APF.

A proposta com o Catálogo de Boas Práticas foi projetado justamente para mitigar osproblemas de atrasos com a entrega de soluções de TI para atender ao sistema PEN, e tambémpara eliminar o mal uso dos recursos computacionais nos Datacenters da APF, que em algunscasos podem estar sendo subutilizados e, em outros sobrecarregados, dependendo da situação decada órgão.

Este Catálogo de Boas Práticas foi construído com a ideia principal de viabilizar umamudança de paradigma nas contratações de soluções de TI da APF. Ele propõe um novo dire-cionamento para contratações de soluções TI baseadas em serviços de Computação em Nuvem,devido a grande escalabilidade que este modelo nós permite, onde novos serviços de TI serãodisponibilizados apenas com a autorização de novas ordens de serviço.

A utilização do Catálogo de Boas Práticas pelos órgãos da APF pode reduzir conside-ravelmente o tempo em novas contratações de soluções de TI para a implantação do sistemaPEN, pois ele fornece de uma forma mais prática e funcional todos os passos a serem seguidosem novas contratações envolvendo o modelo de Computação em Nuvem. Além da redução dotempo em contratações, também deve ser levado em consideração possíveis resultados com aredução de custos que são investidos em equipamentos TI, pois esse modelo permite o pagamentosomente por aquilo que realmente foi consumido, evitando assim o desperdício em compras deequipamentos de TI desnecessárias.

Conclui-se então que a proposta contendo o Catálogo de Boas Práticas possa vir apermitir um novo modelo de Gestão dos recursos de TI na APF, possibilitando o uso maisracional e otimizado destes recursos. O catálogo contém todas as recomendações a seremseguidas em contratações de serviços de Computação em Nuvem que, de acordo com MELL;GRANCE (2011), permite a utilização de um pool de recursos computacionais sob demanda,com um alto poder de escalabilidade, além da facilidade de gerenciamento e monitoramento dosrecursos.

5.2. LIMITAÇÕES DA PESQUISA 85

5.2 Limitações da Pesquisa

As limitações para a realização deste trabalho de pesquisa apresentaram-se de formasdistintas. Primeiramente devido a escolha do método de procedimento ser um estudo de caso.Os dados foram coletados somente em um órgão público da APF em específico, no caso oInstituto Federal de Educação, Ciência e Tecnologia Goiano, dentre vários outros que fazemparte da APF. A escolha do IF Goiano se deu pelo fato da facilidade de se conseguir atingir os100% da população que seria o público alvo a ser entrevistado que, no caso foram os Gerentesde TI dos Campus, e os Diretores de TI lotados na Reitoria.

Em um segundo momento foi necessário o auxílio dos Analistas de TIs dos Campus para ainstalação das ferramentas de monitoramento Zabbix1 e também a de inventário OCS inventoryNG2 em seus respectivos ambientes de Datacenters para que a coleta dos dados referentes ascargas de trabalho dos Datacenters ocorresse de forma sincronizada, tudo nos mesmos dias ehorários de funcionamento. Isso aconteceu devido a necessidade de se adequar ao cumprimentodas normas de política de segurança da informação de cada Campus e Reitoria, onde cada umpossui as suas formas de gerenciamento de senhas e chaves de acesso aos servidores e ativos derede.

5.3 Trabalhos Futuros

Este trabalho apresentou uma proposta contendo os guias de recomendações a seremseguidas pelos Gestores de TI dos órgãos da APF em contratações de serviços de Computaçãoem Nuvem para atender ao sistema PEN. Como o guia poderá ser utilizado em qualquer umdos diversos órgãos pertencentes à APF, cada qual com suas regras e políticas de implantação,é altamente recomendável se atentar para alguns requisitos técnicos e jurídicos que não foramcontemplados de uma maneira mais detalhada no Catálogo de Boas Práticas deste trabalho e,dentre estes requisitos, podemos citar os seguintes que podem ter uma contribuição relevantepara trabalhos futuros na implantação de ambientes de Computação em Nuvem na APF:

� Domínio jurídico das leis de segurança e privacidade: Dentro do domínio jurídico,as regras de segurança e privacidade devem ser analisadas mais a fundo, para queos contratos de prestação de serviços com os provedores de Nuvem possam garantirque todos os detalhes de privacidade estejam em conformidade com a legislaçãolocal e as políticas de implantação de cada órgão. Se em alguns casos os provedoresde Nuvem não fornecerem meios de garantir a integralidade do cumprimento dalegislação, faz-se necessário a construção de meios alternativos como os acordosdo tipo ad-hoc entre os órgãos e provedores de Nuvem (CLOUD COMPUTING INEDUCATION, 2013).

1http://www.zabbix.com/2http://www.ocsinventory-ng.org/en/

5.3. TRABALHOS FUTUROS 86

� APIs de comunicação para camada de Aplicação: Como a contratação dos serviçospara implantação do sistema PEN podem ser concretizados em diferentes provedoresde Nuvem, é altamente recomendável o desenvolvimento de APIs do tipo RESTful(Representational State Transfer), para ficarem responsáveis por fazer o acopla-mento entre os componentes cliente e servidor em uma aplicação distribuída, comono caso do sistema PEN. No contexto da interoperabilidade entre as Nuvens, as APIsRESTful podem ser uma a escolha adequada, devido à exigência de que o clientedeve ser extremamente resistente a mudanças no servidor (ZHANG; WU; CHEUNG,2013).

� Camada extra de proteção aos dados armazenados: Como o sistema PEN temcomo principal objetivo disponibilizar meios eletrônicos para a tramitação dos maisdiversos tipos de processos entre os órgãos públicos da APF, e ainda sabendo quea informação é considerada como bem mais valioso e sigiloso de qualquer tipo deorganização, é extremamente importante utilizar mecanismos de criação de chavesde criptografia públicas do tipo PGP (Pretty Good Privacy) para fazer a criptografiae descriptografia dos dados confidenciais utilizados pelos sistema PEN armazenadosem provedores de Nuvem (SHAHZAD, 2014).

878787

Referências

AHMADIPOUR, M. et al. Cloud computing and how to apply it to IT management. In: CLOUDCOMPUTING TECHNOLOGIES, APPLICATIONS AND MANAGEMENT (ICCCTAM),2012 INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.193–195.

ALJENAA, E.; AL-ANZI, F. S.; ALSHAYEJI, M. Towards an Efficient e-Learning SystemBased on Cloud Computing. In: SECOND KUWAIT CONFERENCE ON E-SERVICES ANDE-SYSTEMS, New York, NY, USA. Proceedings. . . ACM, 2011. p.13:1–13:7. (KCESS ’11).

AMANATULLAH, Y. et al. Toward cloud computing reference architecture: cloud servicemanagement perspective. In: ICT FOR SMART SOCIETY (ICISS), 2013 INTERNATIONALCONFERENCE ON. Anais. . . [S.l.: s.n.], 2013. p.1–4.

AMEEN, R. Y.; HAMO, A. Y. Survey of server virtualization. arXiv preprintarXiv:1304.3557, [S.l.], 2013.

ANDRIKOPOULOS, V. et al. How to adapt applications for the Cloud environment.Computing, [S.l.], v.95, n.6, p.493–535, 2013.

ARMBRUST, M. et al. Above the Clouds: a berkeley view of cloud computing. [S.l.]: EECSDepartment, University of California, Berkeley, 2009. (UCB/EECS-2009-28).

BELAHCEN, A.; ABIK, M.; AJHOUN, R. C-MADAR Learning: cloud based learningenvironment. In: GLOBAL ENGINEERING EDUCATION CONFERENCE (EDUCON), 2012IEEE. Anais. . . [S.l.: s.n.], 2012. p.1–7.

BHISIKAR, A. G-Cloud: new paradigm shift for online public services. International Journalof Computer Applications, [S.l.], v.22, n.8, p.24–29, 2011.

BOHN, R. B. et al. NIST Cloud Computing Reference Architecture. In: IEEE WORLDCONGRESS ON SERVICES, 2011., Washington, DC, USA. Proceedings. . . IEEE ComputerSociety, 2011. p.594–596. (SERVICES ’11).

BUTT, S. et al. Self-service cloud computing. In: ACM CONFERENCE ON COMPUTERAND COMMUNICATIONS SECURITY, 2012. Proceedings. . . [S.l.: s.n.], 2012. p.253–264.

BUYYA, R.; BROBERG, J.; GOSCINSKI, A. M. Cloud computing: principles and paradigms.[S.l.]: John Wiley & Sons, 2010. v.87.

CANABARRO, D. R.; CEPIK, M. Governança de TI - Transformando a AdministraçãoPública no Brasil. 1th.ed. [S.l.]: WS - Porto Alegre, 2010.

CELLARY, W.; STRYKOWSKI, S. E-government based on cloud computing andservice-oriented architecture. In: THEORY AND PRACTICE OF ELECTRONICGOVERNANCE, 3. Proceedings. . . [S.l.: s.n.], 2009. p.5–10.

CHHABRA, S.; DIXIT, V. S. Cloud Computing: state of the art and security issues. SIGSOFTSoftw. Eng. Notes, New York, NY, USA, v.40, n.2, p.1–11, Apr. 2015.

CHOU, D. C. Cloud computing: a value creation model. Computer Standards and Interfaces,[S.l.], v.38, p.72 – 77, 2015.

REFERÊNCIAS 88

SAMPSON, G. D. et al. (Ed.). Cloud Computing in Education. New York, NY: Springer NewYork, 2013. p.19–36.

CONBOY, K.; FITZGERALD, B. Method and Developer Characteristics for Effective AgileMethod Tailoring: a study of xp expert opinion. ACM Trans. Softw. Eng. Methodol., NewYork, NY, USA, v.20, n.1, p.2:1–2:30, July 2010.

COOKE, R. M. Experts in uncertainty: opinion and subjective probability in science. [S.l.]:New York, NY (United States); Oxford University Press, 1991.

DILLON, T.; WU, C.; CHANG, E. Cloud Computing: issues and challenges. In: ADVANCEDINFORMATION NETWORKING AND APPLICATIONS (AINA), 2010 24TH IEEEINTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.27–33.

DONG, B. et al. An E-learning Ecosystem Based on Cloud Computing Infrastructure. In:ADVANCED LEARNING TECHNOLOGIES, 2009. ICALT 2009. NINTH IEEEINTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2009. p.125–127.

DURAO, F. et al. A systematic review on cloud computing. The Journal of Supercomputing,[S.l.], v.68, n.3, p.1321–1346, 2014.

EGTIC. Estratégia Geral de Tecnologia da Informação e Comunicações. Disponível emhttp://www.sisp.gov.br/egtic/wiki/download/file/EGTIC, Acessado em05 set. 2016.

EPING. ePING - Padrões de Interoperabilidade de Governo Eletrônico. Disponível emhttp://eping.governoeletronico.gov.br/#p1s2.1.1, Acessado em 06 set.2016.

ERCAN, T. Effective use of cloud computing in educational institutions. Procedia - Social andBehavioral Sciences, [S.l.], v.2, n.2, p.938 – 942, 2010. Innovation and Creativity in Education.

FURUKAWA. Guia de Recomendação para Datacenter. Disponível emhttp://www.furukawa.com.br/arquivos/i/itm/itmax/1184_GuiadeRecomendaAAao.PDF, Acessado em 05 set. 2016.

GAJBHIYE, A.; SHRIVASTVA, K. Cloud computing: need, enabling technology, architecture,advantages and challenges. In: CONFLUENCE THE NEXT GENERATION INFORMATIONTECHNOLOGY SUMMIT (CONFLUENCE), 2014 5TH INTERNATIONAL CONFERENCE-. Anais. . . [S.l.: s.n.], 2014. p.1–7.

GARFINKEL, S.; ABELSON, H. Architects of the information society: 35 years of thelaboratory for computer science at mit. [S.l.]: MIT press, 1999.

GIORDANELLI, R.; MASTROIANNI, C. The cloud computing paradigm: characteristics,opportunities and research issues. Istituto di Calcolo e Reti ad Alte Prestazioni (ICAR),[S.l.], 2010.

GITHUB. Repositório das Leis, Decretos e Instruções Normativas do Governo Federal.Disponível em https://github.com/alfredopupak/mestradoufpe.

ISLAM, S. et al. Cloud computing for future generation of computing technology. In: CYBERTECHNOLOGY IN AUTOMATION, CONTROL, AND INTELLIGENT SYSTEMS (CYBER),2012 IEEE INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.129–134.

http://www.sisp.gov.br/egtic/wiki/download/file/EGTIC

http://eping.governoeletronico.gov.br/#p1s2.1.1

http://www.furukawa.com.br/arquivos/i/itm/itmax/1184_GuiadeRecomendaAAao.PDF

http://www.furukawa.com.br/arquivos/i/itm/itmax/1184_GuiadeRecomendaAAao.PDF

https://github.com/alfredopupak/mestradoufpe

REFERÊNCIAS 89

ISO/IEC. ISO/IEC 9001:2008 quality management systems - requeriments the adoption. UnitedStates - USA: International Organization for Standardization, 2008. ISO.

ISO/IEC. ISO/IEC 20000-2:2012 information technology — service management — part 2:guidance on the application of service management systems. United States - USA: InternationalOrganization for Standardization, 2012. ISO.

ISO/IEC. ISO/IEC 27001:2013 information technology — security techniques — informationsecurity management systems — requirements. United States - USA: International Organizationfor Standardization, 2013. ISO.

JADEJA, Y.; MODI, K. Cloud computing - concepts, architecture and challenges. In:COMPUTING, ELECTRONICS AND ELECTRICAL TECHNOLOGIES (ICCEET), 2012INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.877–880.

JONGSAWAT, N.; PREMCHAISWADI, W. Weighting expert opinions in group decisionmaking for the influential effects between variables in a Bayesian network model. In:SYSTEMS MAN AND CYBERNETICS (SMC), 2010 IEEE INTERNATIONALCONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.1029–1035.

KHMELEVSKY, Y.; VOYTENKO, V. Cloud Computing Infrastructure Prototype for UniversityEducation and Research. In: WESTERN CANADIAN CONFERENCE ON COMPUTINGEDUCATION, 15., New York, NY, USA. Proceedings. . . ACM, 2010. p.8:1–8:5. (WCCCE’10).

KITCHENHAM, P. et al. Lessons from applying the systematic literature review process withinthe software engineering domain. Journal of systems and software, [S.l.], v.80, n.4,p.571–583, 2007.

KULKARNI, V. A Conceptual Model for Capturing Stakeholders’ Wish List. In: COMPUTERSCIENCE AND SOFTWARE ENGINEERING, 2008 INTERNATIONAL CONFERENCE ON.Anais. . . [S.l.: s.n.], 2008. v.2, p.275–278.

KUNDRA, V. Federal Cloud Computing Strategy. [S.l.]: White House,Chief InformationOfficers, 2011.

LAKATOS, E. M.; MARCONI, M. Metodologia científica. 5th.ed. [S.l.]: Atlas São Paulo,2007.

LAKATOS, E. M.; MARCONI, M. Técnicas de Pesquisa. 7th.ed. [S.l.]: Atlas São Paulo, 2009.

LEHRIG, S.; EIKERLING, H.; BECKER, S. Scalability, Elasticity, and Efficiency in CloudComputing: a systematic literature review of definitions and metrics. In: INTERNATIONALACM SIGSOFT CONFERENCE ON QUALITY OF SOFTWARE ARCHITECTURES, 11.,New York, NY, USA. Proceedings. . . ACM, 2015. p.83–92. (QoSA ’15).

LI, M.; SMIDTS, C. S. A ranking of software engineering measures based on expert opinion.Software Engineering, IEEE Transactions on, [S.l.], v.29, n.9, p.811–824, 2003.

LIANG-JIE ZHANG, E. Editorial: introduction to the body of knowledge areas of servicescomputing ieee transactions on services computing vol 1, number 2. [S.l.]: April-June, 2008.

REFERÊNCIAS 90

MARSTON, S. et al. Cloud computing — The business perspective. Decision SupportSystems, [S.l.], v.51, n.1, p.176 – 189, 2011.

MELL, P.; GRANCE, T. NIST Cloud Computing Standards Roadmap. In: ACM. Anais. . .Computer Security Division: Information Technology Laboratory: National Institute ofStandards and Technology Gaithersburg, 2011.

MICROSOFT. Microsoft Trust Center - Relatórios SOC. Disponível emhttps://www.microsoft.com/pt-br/TrustCenter/Compliance/SOC,Acessado em 05 set. 2016.

MOKHTAR, S. A. et al. Cloud Computing in Academic Institutions. In: INTERNATIONALCONFERENCE ON UBIQUITOUS INFORMATION MANAGEMENT ANDCOMMUNICATION, 7., New York, NY, USA. Proceedings. . . ACM, 2013. p.2:1–2:7.(ICUIMC ’13).

MOLLAH, M.; ISLAM, S. Next generation of computing through cloud computing technology.In: ELECTRICAL COMPUTER ENGINEERING (CCECE), 2012 25TH IEEE CANADIANCONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.1–6.

PARKHILL, D. F. Challenge of the computer utility. [S.l.]: Addison-Wesley, 1966.

POLASH, F.; ABUHUSSEIN, A.; SHIVA, S. A survey of cloud computing taxonomies:rationale and overview. In: INTERNET TECHNOLOGY AND SECURED TRANSACTIONS(ICITST), 2014 9TH INTERNATIONAL CONFERENCE FOR. Anais. . . [S.l.: s.n.], 2014.p.459–465.

PUTHAL, D. et al. Cloud Computing Features, Issues, and Challenges: a big picture. In:COMPUTATIONAL INTELLIGENCE AND NETWORKS (CINE), 2015 INTERNATIONALCONFERENCE ON. Anais. . . [S.l.: s.n.], 2015. p.116–123.

RAJ, G.; SARFARAZ, M.; SINGH, D. Survey on trust establishment in cloud computing. In:CONFLUENCE THE NEXT GENERATION INFORMATION TECHNOLOGY SUMMIT(CONFLUENCE), 2014 5TH INTERNATIONAL CONFERENCE -. Anais. . . [S.l.: s.n.], 2014.p.215–220.

RAJARAMAN, V. Cloud computing. Resonance, [S.l.], v.19, n.3, p.242–258, 2014.

RASTOGI, A. A model based approach to implement cloud computing in e-Governance.International Journal of Computer Applications, [S.l.], v.9, n.7, p.15–18, 2010.

SHAHZAD, F. State-of-the-art Survey on Cloud Computing Security Challenges, Approachesand Solutions. Procedia Computer Science, [S.l.], v.37, p.357 – 362, 2014. The 5thInternational Conference on Emerging Ubiquitous Systems and Pervasive Networks(EUSPN-2014)/ The 4th International Conference on Current and Future Trends of Informationand Communication Technologies in Healthcare (ICTH 2014)/ Affiliated Workshops.

SILVA, F. A. P. d. Monext: an accounting framework for federated clouds. 2013. Dissertação(Mestrado em Ciência da Computação) — Universidade Federal de Pernambuco, PE, Brazil.

SMITH, D. M. Hype cycle for cloud computing, 2011. Gartner Inc., Stamford, [S.l.], p.71,2011.

https://www.microsoft.com/pt-br/TrustCenter/Compliance/SOC

REFERÊNCIAS 91

SMITHA, K.; THOMAS, T.; CHITHARANJAN, K. Cloud Based E-Governance System: asurvey. Procedia Engineering, [S.l.], v.38, p.3816 – 3823, 2012. {INTERNATIONAL}{CONFERENCE} {ON} {MODELLING} {OPTIMIZATION} {AND} {COMPUTING}.

THAKORE, U.; WEAVER, G.; SANDERS, W. An Actor-centric, Asset-Based MonitorDeployment Model for Cloud Computing. In: UTILITY AND CLOUD COMPUTING (UCC),2013 IEEE/ACM 6TH INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2013.p.311–312.

TRIPATHI, A.; PARIHAR, B. E-governance challenges and cloud benefits. In: COMPUTERSCIENCE AND AUTOMATION ENGINEERING (CSAE), 2011 IEEE INTERNATIONALCONFERENCE ON. Anais. . . [S.l.: s.n.], 2011. v.1, p.351–354.

TRIVIÑOS, A. N. S. Introdução à pesquisa em ciências sociais: a pesquisa qualitativa emeducação. [S.l.]: Atlas, 1987.

TSAI, W.-T.; SUN, X.; BALASOORIYA, J. Service-Oriented Cloud Computing Architecture.In: INFORMATION TECHNOLOGY: NEW GENERATIONS (ITNG), 2010 SEVENTHINTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.684–689.

WAZLAWICK, R. Metodologia de pesquisa para ciência da computação. 6th.ed. [S.l.]:Elsevier Brasil, 2009.

WILLIS, J. Did Google’s Eric Schmidt Coin "Cloud Computing"? Disponível emhttp://cloudcomputing.sys-con.com/node/795054, Acessado em 1 fev. 2016.

WIND, S. Open source cloud computing management platforms: introduction, comparison, andrecommendations for implementation. In: OPEN SYSTEMS (ICOS), 2011 IEEECONFERENCE ON. Anais. . . [S.l.: s.n.], 2011. p.175–179.

WU, P.; LIU, W.; JIN, C. A Novel Recommender System Fusing the Opinions from Experts andOrdinary People. In: WORKSHOP ON CONTEXT-AWARE MOVIE RECOMMENDATION,New York, NY, USA. Proceedings. . . ACM, 2010. p.41–44. (CAMRa ’10).

WYLD, D. C. Moving to the cloud: an introduction to cloud computing in government. [S.l.]:IBM Center for the Business of Government, 2009.

YEH, C. et al. Analysis of E-government service platform based on cloud computing. In:INFORMATION SCIENCE AND ENGINEERING (ICISE), 2010 2ND INTERNATIONALCONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.997–1000.

ZHANG, Z.; WU, C.; CHEUNG, D. W. A Survey on Cloud Interoperability: taxonomies,standards, and practice. SIGMETRICS Perform. Eval. Rev., New York, NY, USA, v.40, n.4,p.13–22, Apr. 2013.

http://cloudcomputing.sys-con.com/node/795054

Apêndice

939393

AQuestionário Aplicado aos Gestores de TI

QUESTÕES

1. Qual é a sua área de formação?( ) Engenharia da Computação( ) Ciência da Computação( ) Processamento de Dados( ) Sistemas da Informação( ) Análise de Sistemas( ) Redes de Computadores( ) Outros

2. Qual cargo de gestão você ocupa no seu local de trabalho?( ) Diretor de TI( ) Gerente de TI( ) Coordenador de TI( ) Chefe de TI( ) Outros

3. Quantos anos você está desempenhando essa função de Gestor de TI?( ) 2 anos( ) 3 anos( ) 4 anos( ) 5 anos( ) 6 anos ou mais

4. Para o Information Technology Governance Institute (ITGI)1, “A Governança de TIé de responsabilidade dos executivos e da alta direção, consistindo em aspectos deliderança, estrutura organizacional e processos, que garante o alinhamento entre aárea de TI e os objetivos e estratégias da organização.”

1http://www.isaca.org/about-isaca/it-governance-institute/pages/default.aspx

94

Você como Gestor de TI aplica a Governança de TI no seu local de trabalho?( ) Aplica Totalmente( ) Aplica Parcialmente( ) Não se Aplica( ) Não sei Responder

5. Você como Gestor de TI tem as atribuições voltadas somente para a parte de Planeja-mento e Governança?( ) Sim. As atribuições são somente com a parte de Planejamento e Governança.( ) Não. Eu divido essas atribuições com mais outras funções pertinentes a TI emgeral.( ) Não sei Responder.

6. Em relação ao quantitativo da força de trabalho da equipe de TI atuando no seuCampus/Reitoria.( ) É totalmente completa, atende as expectativas com sucesso.( ) É parcialmente completa, atende as expectativas na maioria das vezes.( ) É totalmente incompleta, falta muito para atender as expectativas.( ) É um caos, será necessário uma reformulação geral para atender o mínimo dasexpectativas.

7. Quando surge uma nova demanda para o desenvolvimento de aplicações de TI no seuCampus/Reitoria, qual é o tempo médio para atender a essa demanda?( ) de 3 a 5 meses( ) de 6 a 11 meses( ) de 12 a 17 meses( ) de 18 a 24 meses( ) Mais de 24 meses( ) Não é desenvolvido nenhum tipo de aplicação de TI

8. Quando surge uma nova demanda para a aquisição de licenças de softwares propri-etários no seu Campus/Reitoria, qual é o tempo médio para atender a essa demanda?( ) de 6 a 11 meses( ) de 12 a 17 meses( ) de 18 a 24 meses( ) Mais de 24 meses

9. Quando surge uma nova demanda por ativos de rede no seu Campus/Reitoria, qual éo tempo médio para atender a essa demanda?( ) de 6 a 11 meses( ) de 12 a 17 meses

95

( ) de 18 a 24 meses( ) Mais de 24 meses

10. Quais são os maiores empecilhos encontrados na hora de concretizar novas con-tratações de soluções de TI, como ativos de rede ou licenças de software, para seuCampus/Reitoria? (Pode escolher mais de uma opção)( ) Restrições Orçamentárias.( ) Planejamento da Contratação.( ) Falta de apoio da alta direção.( ) Levantamento da Oficialização da Demanda.( ) Processo Burocrático e demorado.

11. Você como Gestor de TI tem o controle total sobre o gerenciamento e monitoramentodo Datacenter do seu Campus/Reitoria?( ) Tenho o controle Total.( ) Tenho apenas o controle Parcial.( ) Não tenho ferramentas para o controle Total.( ) Não sei Responder.

12. Quais são os principais serviços e aplicações de TI disponibilizados no Datacenterdo seu Campus/Reitoria? (Pode escolher mais de uma opção)( ) Aplicações WEB;( ) Backup e Armazenamento de Arquivos;( ) Serviços de DNS;( ) Serviços de Autenticação Centralizada (Active Diretory / LDAP);( ) Aplicações para ambientes de Ensino a Distância (EAD);( ) Outros;

13. De acordo com National Institute of Standards and Technology (NIST)2, "A Com-putação em Nuvem permite o acesso ubíquo, onde a rede está disponível sob demandaa um grupo compartilhado de recursos computacionais configuráveis, como servi-dores, storages, redes e processamento, com um rápido provisionamento e comesforço mínimo por parte do provedor de serviços." Na sua opinião como Gestor deTI esse modelo de Computação poderia contribuir para disponibilização de serviçose aplicações de TI sob demanda no seu Campus/Reitoria?( ) Poderia contribuir em grande parte na disponibilização de serviços e aplicações deTI.( ) Poderia contribuir parcialmente na disponibilização de serviços e aplicações de TI.( ) A contribuição seria somente em um nicho específico de serviço ou aplicação de

2http://www.nist.gov/itl/cloud/

96

TI.( ) Não sei Responder

14. De acordo com o SERPRO3, "A infraestrutura de uma Nuvem comunitária é compar-tilhada por várias organizações que partilham interesses como a missão, requisitos desegurança, políticas, entre outros." Na sua opinião esse modelo de implantação emNuvem poderia vir a contribuir de alguma maneira no seu Campus/Reitoria?( ) Sim, contribuiria de uma forma bastante eficiente na prestação de diversos serviçosde TI.( ) Sim, poderia contribuir de alguma forma na prestação de alguns serviços de TI.( ) Esse modelo de implantação não iria trazer nenhum tipo de impacto na prestaçãode serviços de TI.( ) Não sei opinar sobre esse modelo de implantação em Nuvem.

15. Segundo a Amazon4, "A Computação em Nuvem pode prover Infraestrutura comoServiço (IaaS), Software como Serviço (SaaS) e Plataforma como Serviço (PaaS),com um alto poder de escalabilidade e por um preço justo." Na sua opinião qualdesses serviços seria mais útil para auxiliar na prestação de serviços de TI no seuCampus/Reitoria? (Pode escolher mais de uma opção)( ) IaaS - Infraestrutura como Serviço( ) SaaS - Software como Serviço( ) PaaS - Plataforma como Serviço( ) Não sei opinar sobre esses modelos de serviço.

16. Um estudo elaborado pelo chefe de informações da Casa Branca Vivek Kundra(2011) "Estratégia Federal de Computação em Nuvem", afirma que a Computação emNuvem pode melhorar substancialmente os serviços e aplicações de TI prestados aosórgãos do Governo Federal Americano. Esses benefícios podem ser a diminuição doscustos com aquisição de equipamentos, eficiência, agilidade e inovação na prestaçãode serviços de TI. Na sua opinião como Gestor de TI o que você acha desse estudo?( ) Concordo totalmente, realmente esse modelo de computação pode trazer diversosbenefícios.( ) Concordo parcialmente, esse modelo pode trazer somente alguns tipos de benefí-cios.( ) Acredito que esse modelo de computação não traga nenhum tipo de benefício.( ) Não sei opinar sobre este estudo.

3https://www.serpro.gov.br/inovacao/computacao-em-nuvem4https://aws.amazon.com/pt/

Documents

Alfredo Pupak Pereira Virote - UFPE€¦ · Em direção a uma proposta de utilização da computação em nuvem na administração pública federal: um estudo de caso no Instituto