Riscos da computação em nuvem: estudo na ótica dos gestores de órgãos públicos federais no Brasil

Andrio de Andrade Alves; Carlos André de Melo Alves; Fábio Galvão Ferreira Tabosa; Rafael Rabelo Nunes

doi:10.22279/navus.2021.v11.p01-18.1513

Autores

Andrio de Andrade Alves Universidade de Brasília http://orcid.org/0000-0003-0396-5345
Carlos André de Melo Alves Universidade de Brasília http://orcid.org/0000-0001-9566-2514
Fábio Galvão Ferreira Tabosa Universidade de Brasília http://orcid.org/0000-0002-1028-6781
Rafael Rabelo Nunes Universidade de Brasília http://orcid.org/0000-0002-1538-4276

DOI:

https://doi.org/10.22279/navus.2021.v11.p01-18.1513

Palavras-chave:

Computação em Nuvem. Riscos. Setor Público. Governo Eletrônico.

Resumo

Este trabalho teve como objetivo avaliar os riscos ao se implantar serviços de Computação em Nuvem na ótica dos gestores de órgãos públicos federais no Brasil. Para alcançar o objetivo proposto, foram realizadas entrevistas semiestruturadas com servidores de nível tático, envolvidos com a gestão de tecnologia da informação de dez órgãos da Administração Pública Federal. Os dados foram analisados com base nas recomendações de entidades internacionais para enfrentamento de riscos dessa natureza, com base em nove dimensões: governança; legislação e regulamentações; conformidade e auditoria; continuidade dos negócios; segurança; isolamento; gestão de identidade e de acessos; proteção de dados; e resposta a incidentes. Os resultados demonstraram que ainda há um caminho a ser percorrido para a implementação desses serviços na Administração Pública, principalmente quando se refere a questionamentos acerca dos riscos que estão atrelados ao seu uso, com atenção ao tratamento de dados sensíveis. Em complemento, para se implementar o serviço de computação em nuvem como proposto pela Estratégia de Transformação Digital, os achados sugerem a necessidade de enfrentar riscos de transposição complexa, fato que funciona como incentivo para postergar a implementação dessa tecnologia por entidades governamentais brasileiras.

Downloads

Não há dados estatísticos.

Biografia do Autor

Andrio de Andrade Alves, Universidade de Brasília

Bacharel em Administração. Universidade de Brasília (UnB)

Carlos André de Melo Alves, Universidade de Brasília

Doutor em Administração pela Universidade de São Paulo.

Fábio Galvão Ferreira Tabosa, Universidade de Brasília

Especialista em Governança de TI, Centro de Desenvolvimento do Serviço Nacional Aprendizagem Comercial (Senac)

Rafael Rabelo Nunes, Universidade de Brasília

Doutor em Engenharia Elétrica. Universidade de Brasília (UnB) – Brasil

Referências

ALI, Omar et al. Assessing information security risks in the cloud: A case study of Australian local government authorities. Government Information Quarterly, [s. l.], v. 37, n. 1, p. 101419, 2020. Disponível em: https://doi.org/10.1016/j.giq.2019.101419. Acesso em: 28 out. 2020.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27017 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem. Rio de Janeiro, BR: [s. n.], 2016.

BRASIL. Banco Central do Brasil. Circular nº 3.909, de 16 de agosto de 2018. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil. Brasília: Banco Central do Brasil, 2018a. Disponível em: https: //www.bcb. gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&numero=3909. Acesso em: 20 maio 2020.

BRASIL. Conselho Monetário Nacional. Resolução nº 4.658, de 26 de abril de 2018. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. Brasília: Conselho Monetário Nacional, 2018b. Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo= Resolu%25C3%25 A7%25C3%25A3o&numero=4658. Acesso em: 20 maio 2020.

BRASIL. Ministério da Ciência Tecnologia Inovações e Comunicações. Estratégia Brasileira de Transformação Digital: E-digital. Brasília: Ministério da Ciência Tecnologia Inovações e Comunicações, 2018c. Disponível em: http://www.mctic.gov.br/mctic/export/sites/institucional/estrategiadigital.pdf. Acesso em: 20 maio 2020.

BRASIL. Ministério da Economia. Instrução Normativa nº 1, de 4 de Abril de 2019. Dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal. Brasília: Ministério da Economia, 2019. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-instrucao-normativa-n-1-de-4-de-abril-de-2019-70267535. Acesso em: 20 maio 2020.

BRASIL. Presidência da República. Portaria GSI no 9 de 15 de março de 2018. Brasília: Presidência da República, 2018d. Disponível em: https://www.in.gov.br/inicio. Acesso em: 20 maio 2020.

BRASIL. Tribunal de Contas da união. Acórdão nº 1.739/2015. Brasília: Tribunal de Contas da União, 2015. Disponível em: http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20150720/AC_1739_24_15_P.doc. Acesso em: 20 maio 2020.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Brasília, DF: Presidência da República, 2018e. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 maio 2020.

BURLESON, Brant R.; LEVINE, Barbara J.; SAMTER, Wendy. Decision-Making Procedure and Decision Quality. Human Communication Research, Oxford, v. 10, n. 4, p. 557–574, 1984.

CAMERON, David; KNEALE, Pauline; SEE, Linda. An evaluation of a traditional and a neural net modelling approach to flood forecasting for an upland catchment. Hydrological Processes, Londres, v. 16, n. 5, p. 1033–1046, 2002.

CATTEDDU, Daniele; HOGBEN, Giles. Cloud Computing Security Risk Assessment. Heraklion: ENISA, 2009.

CLOUD SECURITY ALLIANCE. CSA Security Guidance v. 4., p. 152, 2017. Disponível em: https://cloudsecurityalliance.org/download/security-. Acesso em: 17 abr. 2020.

JANSEN, Wayne; GRANCE, Timothy. Guidelines on security and privacy in public cloud computing. Gaithersburg, MD: [s. n.], 2011. Disponível em: https://doi.org/10.6028/NIST.SP.800-144. Acesso em: 15 abr. 2020.

JONES, Steve et al. Risks and rewards of cloud computing in the UK public sector: A reflection on three Organisational case studies. Information Systems Frontiers, [s. l.], v. 21, n. 2, p. 359–382, 2019. Disponível em: https://doi.org/10.1007/s10796-017-9756-0. Acesso em: 22 out. 2020.

KITCHIN, Rob; TATE, Nick; NICHOLAS, J. Tate. Conducting Research in Human Geography: Theory, Methodology and Practice. 1. ed. Ann Arbor: Prentice Hall, 2000.

LONGHURST, Robyn. Semi-structured interviews and focus groups. Key methods in geography, Londres, UK, p. 103, 2010.

MARSTON, Sean et al. Cloud computing - The business perspective. Decision Support Systems, Miami, US, v. 51, n. 1, p. 176–189, 2011. Disponível em: https://doi.org/10.1016/j.dss.2010.12.006

MELL, P M; GRANCE, T. The NIST definition of cloud computingLecture Notes in Electrical Engineering. Gaithersburg, MD: [s. n.], 2011. Disponível em: https://doi.org/10.6028/NIST.SP.800-145. Acesso em: 15 abr. 2020.

MILES, Matthew B; HUBERMAN, A Michael. Qualitative data analysis: An expanded sourcebook. Londres: SAGE, 1994.

TANG, Wenzhe et al. Incentives in the Chinese Construction Industry. Journal of Construction Engineering and Management, Beijing, CH, v. 134, n. 7, p. 457-467, 2008. Disponível em: https://doi.org/10.1061/(ASCE)0733-9364(2008)134:7(457). Acesso em: 10 abr. 2020.

TAURION, Cezar. Cloud Computing: computação em nuvem: transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009. E-book.

VALENTINE, Gill. Tell me about... Using interviews as a research methodology apud Flowerdew, R. and Martin, D.(eds.). Methods in human geography: A guide for students doing a research project, Harlow, v. 2, p. 110-127, 2005. Disponível em: https://ucl.rl.talis.com/items/8DCA1D60-D21E-0B81-1790-4E27EC52DDCA.html. Acesso em: 10 abr. 2020.

VERAS, Manoel. Cloud Computing - Nova Arquitetura da TI. Rio de Janeiro: Brasport, 2012.

Riscos da computação em nuvem: estudo na ótica dos gestores de órgãos públicos federais no Brasil

Autores

DOI:

Palavras-chave:

Resumo

Downloads

Biografia do Autor

Andrio de Andrade Alves, Universidade de Brasília

Carlos André de Melo Alves, Universidade de Brasília

Fábio Galvão Ferreira Tabosa, Universidade de Brasília

Rafael Rabelo Nunes, Universidade de Brasília

Referências

Downloads

Publicado

Edição

Seção

Licença

Enviar Submissão

Idioma

Palavras-chave

Informações

Desenvolvido por