Riscos da computação em nuvem: estudo na ótica dos gestores de órgãos públicos federais no Brasil
DOI:
https://doi.org/10.22279/navus.2021.v11.p01-18.1513Palavras-chave:
Computação em Nuvem. Riscos. Setor Público. Governo Eletrônico.Resumo
Este trabalho teve como objetivo avaliar os riscos ao se implantar serviços de Computação em Nuvem na ótica dos gestores de órgãos públicos federais no Brasil. Para alcançar o objetivo proposto, foram realizadas entrevistas semiestruturadas com servidores de nível tático, envolvidos com a gestão de tecnologia da informação de dez órgãos da Administração Pública Federal. Os dados foram analisados com base nas recomendações de entidades internacionais para enfrentamento de riscos dessa natureza, com base em nove dimensões: governança; legislação e regulamentações; conformidade e auditoria; continuidade dos negócios; segurança; isolamento; gestão de identidade e de acessos; proteção de dados; e resposta a incidentes. Os resultados demonstraram que ainda há um caminho a ser percorrido para a implementação desses serviços na Administração Pública, principalmente quando se refere a questionamentos acerca dos riscos que estão atrelados ao seu uso, com atenção ao tratamento de dados sensíveis. Em complemento, para se implementar o serviço de computação em nuvem como proposto pela Estratégia de Transformação Digital, os achados sugerem a necessidade de enfrentar riscos de transposição complexa, fato que funciona como incentivo para postergar a implementação dessa tecnologia por entidades governamentais brasileiras.
Downloads
Referências
ALI, Omar et al. Assessing information security risks in the cloud: A case study of Australian local government authorities. Government Information Quarterly, [s. l.], v. 37, n. 1, p. 101419, 2020. Disponível em: https://doi.org/10.1016/j.giq.2019.101419. Acesso em: 28 out. 2020.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27017 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem. Rio de Janeiro, BR: [s. n.], 2016.
BRASIL. Banco Central do Brasil. Circular nº 3.909, de 16 de agosto de 2018. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil. Brasília: Banco Central do Brasil, 2018a. Disponível em: https: //www.bcb. gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&numero=3909. Acesso em: 20 maio 2020.
BRASIL. Conselho Monetário Nacional. Resolução nº 4.658, de 26 de abril de 2018. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. Brasília: Conselho Monetário Nacional, 2018b. Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo= Resolu%25C3%25 A7%25C3%25A3o&numero=4658. Acesso em: 20 maio 2020.
BRASIL. Ministério da Ciência Tecnologia Inovações e Comunicações. Estratégia Brasileira de Transformação Digital: E-digital. Brasília: Ministério da Ciência Tecnologia Inovações e Comunicações, 2018c. Disponível em: http://www.mctic.gov.br/mctic/export/sites/institucional/estrategiadigital.pdf. Acesso em: 20 maio 2020.
BRASIL. Ministério da Economia. Instrução Normativa nº 1, de 4 de Abril de 2019. Dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal. Brasília: Ministério da Economia, 2019. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-instrucao-normativa-n-1-de-4-de-abril-de-2019-70267535. Acesso em: 20 maio 2020.
BRASIL. Presidência da República. Portaria GSI no 9 de 15 de março de 2018. Brasília: Presidência da República, 2018d. Disponível em: https://www.in.gov.br/inicio. Acesso em: 20 maio 2020.
BRASIL. Tribunal de Contas da união. Acórdão nº 1.739/2015. Brasília: Tribunal de Contas da União, 2015. Disponível em: http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20150720/AC_1739_24_15_P.doc. Acesso em: 20 maio 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Brasília, DF: Presidência da República, 2018e. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 maio 2020.
BURLESON, Brant R.; LEVINE, Barbara J.; SAMTER, Wendy. Decision-Making Procedure and Decision Quality. Human Communication Research, Oxford, v. 10, n. 4, p. 557–574, 1984.
CAMERON, David; KNEALE, Pauline; SEE, Linda. An evaluation of a traditional and a neural net modelling approach to flood forecasting for an upland catchment. Hydrological Processes, Londres, v. 16, n. 5, p. 1033–1046, 2002.
CATTEDDU, Daniele; HOGBEN, Giles. Cloud Computing Security Risk Assessment. Heraklion: ENISA, 2009.
CLOUD SECURITY ALLIANCE. CSA Security Guidance v. 4., p. 152, 2017. Disponível em: https://cloudsecurityalliance.org/download/security-. Acesso em: 17 abr. 2020.
JANSEN, Wayne; GRANCE, Timothy. Guidelines on security and privacy in public cloud computing. Gaithersburg, MD: [s. n.], 2011. Disponível em: https://doi.org/10.6028/NIST.SP.800-144. Acesso em: 15 abr. 2020.
JONES, Steve et al. Risks and rewards of cloud computing in the UK public sector: A reflection on three Organisational case studies. Information Systems Frontiers, [s. l.], v. 21, n. 2, p. 359–382, 2019. Disponível em: https://doi.org/10.1007/s10796-017-9756-0. Acesso em: 22 out. 2020.
KITCHIN, Rob; TATE, Nick; NICHOLAS, J. Tate. Conducting Research in Human Geography: Theory, Methodology and Practice. 1. ed. Ann Arbor: Prentice Hall, 2000.
LONGHURST, Robyn. Semi-structured interviews and focus groups. Key methods in geography, Londres, UK, p. 103, 2010.
MARSTON, Sean et al. Cloud computing - The business perspective. Decision Support Systems, Miami, US, v. 51, n. 1, p. 176–189, 2011. Disponível em: https://doi.org/10.1016/j.dss.2010.12.006
MELL, P M; GRANCE, T. The NIST definition of cloud computingLecture Notes in Electrical Engineering. Gaithersburg, MD: [s. n.], 2011. Disponível em: https://doi.org/10.6028/NIST.SP.800-145. Acesso em: 15 abr. 2020.
MILES, Matthew B; HUBERMAN, A Michael. Qualitative data analysis: An expanded sourcebook. Londres: SAGE, 1994.
TANG, Wenzhe et al. Incentives in the Chinese Construction Industry. Journal of Construction Engineering and Management, Beijing, CH, v. 134, n. 7, p. 457-467, 2008. Disponível em: https://doi.org/10.1061/(ASCE)0733-9364(2008)134:7(457). Acesso em: 10 abr. 2020.
TAURION, Cezar. Cloud Computing: computação em nuvem: transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009. E-book.
VALENTINE, Gill. Tell me about... Using interviews as a research methodology apud Flowerdew, R. and Martin, D.(eds.). Methods in human geography: A guide for students doing a research project, Harlow, v. 2, p. 110-127, 2005. Disponível em: https://ucl.rl.talis.com/items/8DCA1D60-D21E-0B81-1790-4E27EC52DDCA.html. Acesso em: 10 abr. 2020.
VERAS, Manoel. Cloud Computing - Nova Arquitetura da TI. Rio de Janeiro: Brasport, 2012.
Publicado
Edição
Seção
Licença
O conteúdo da revista é de acesso público e gratuito, podendo ser compartilhado de acordo com os termos da Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil. Você tem a liberdade de compartilhar — copiar, distribuir e transmitir a obra, sob as seguintes condições:
a) Atribuição — a atribuição deve ser feita quando alguém compartilhar um de seus artigos e deve sempre citar o nome da revista e o endereço do conteúdo compartilhado.
b) Uso não-comercial — você não pode usar esta obra para fins comerciais.
c) Vedada à criação de obras derivadas — você não pode alterar, transformar ou criar em cima desta obra.
Ficando claro que:
Renúncia — qualquer das condições acima pode ser renunciada se você obtiver permissão do titular dos direitos autorais. Domínio Público — onde a obra ou qualquer de seus elementos estiver em domínio público sob o direito aplicável, esta condição não é, de maneira alguma, afetada pela licença.
Outros Direitos — os seguintes direitos não são, de maneira alguma, afetados pela licença:
- Limitações e exceções aos direitos autorais ou quaisquer usos livres aplicáveis;
- os direitos morais do autor;
- direitos que outras pessoas podem ter sobre a obra ou sobre a utilização da obra, tais como direitos de imagem ou privacidade.
Aviso — para qualquer reutilização ou distribuição, você deve deixar claro a terceiros os termos da licença a que se encontra submetida esta obra.
A revista se reserva o direito de efetuar, nos originais, alterações de ordem normativa, ortográfica e gramatical, com vistas a manter o padrão culto da língua, respeitando, porém, o estilo dos autores.
Os trabalhos publicados passam a ser propriedade da revista Navus: Revista de Gestão e Tecnologia que deve ser consignada a fonte de publicação original. Os originais não serão devolvidos aos autores.
As opiniões emitidas pelos autores nos artigos são de sua exclusiva responsabilidade.
Esta obra está licenciada sob uma Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil.