Risks of cloud computing: a study from the perspective of managers of federal public agencies in Brazil
DOI:
https://doi.org/10.22279/navus.2021.v11.p01-18.1513Keywords:
Cloud Computing. Risks. Public Sector. e-Government.Abstract
This work aimed to evaluate the risks when deploying Cloud Computing services from the perspective of managers of federal public agencies in Brazil. To achieve the proposed objective, semi-structured interviews were conducted with tactical level servers, involved with the management of information technology of ten Federal Public Administration agencies. The data were analyzed based on the recommendations of international entities to face risks of this nature, based on nine dimensions: governance; legislation and regulations; compliance and auditing; business continuity; security; isolation; identity and access management; data protection; and incident response. The results showed that there is still a way to go to implement these services in Public Administration, especially when it comes to questions about the risks that are linked to their use, with attention to the treatment of sensitive data. In addition, to implement the cloud computing service as proposed by the Digital Transformation Strategy, the findings suggest the need to face risks of complex transposition, a fact that works as an incentive to delay the implementation of this technology by Brazilian government entities.
Downloads
References
ALI, Omar et al. Assessing information security risks in the cloud: A case study of Australian local government authorities. Government Information Quarterly, [s. l.], v. 37, n. 1, p. 101419, 2020. Disponível em: https://doi.org/10.1016/j.giq.2019.101419. Acesso em: 28 out. 2020.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27017 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem. Rio de Janeiro, BR: [s. n.], 2016.
BRASIL. Banco Central do Brasil. Circular nº 3.909, de 16 de agosto de 2018. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil. Brasília: Banco Central do Brasil, 2018a. Disponível em: https: //www.bcb. gov.br/estabilidadefinanceira/exibenormativo?tipo=Circular&numero=3909. Acesso em: 20 maio 2020.
BRASIL. Conselho Monetário Nacional. Resolução nº 4.658, de 26 de abril de 2018. Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. Brasília: Conselho Monetário Nacional, 2018b. Disponível em: https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo= Resolu%25C3%25 A7%25C3%25A3o&numero=4658. Acesso em: 20 maio 2020.
BRASIL. Ministério da Ciência Tecnologia Inovações e Comunicações. Estratégia Brasileira de Transformação Digital: E-digital. Brasília: Ministério da Ciência Tecnologia Inovações e Comunicações, 2018c. Disponível em: http://www.mctic.gov.br/mctic/export/sites/institucional/estrategiadigital.pdf. Acesso em: 20 maio 2020.
BRASIL. Ministério da Economia. Instrução Normativa nº 1, de 4 de Abril de 2019. Dispõe sobre o processo de contratação de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo Federal. Brasília: Ministério da Economia, 2019. Disponível em: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/70267659/do1-2019-04-05-instrucao-normativa-n-1-de-4-de-abril-de-2019-70267535. Acesso em: 20 maio 2020.
BRASIL. Presidência da República. Portaria GSI no 9 de 15 de março de 2018. Brasília: Presidência da República, 2018d. Disponível em: https://www.in.gov.br/inicio. Acesso em: 20 maio 2020.
BRASIL. Tribunal de Contas da união. Acórdão nº 1.739/2015. Brasília: Tribunal de Contas da União, 2015. Disponível em: http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20150720/AC_1739_24_15_P.doc. Acesso em: 20 maio 2020.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Brasília, DF: Presidência da República, 2018e. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 20 maio 2020.
BURLESON, Brant R.; LEVINE, Barbara J.; SAMTER, Wendy. Decision-Making Procedure and Decision Quality. Human Communication Research, Oxford, v. 10, n. 4, p. 557–574, 1984.
CAMERON, David; KNEALE, Pauline; SEE, Linda. An evaluation of a traditional and a neural net modelling approach to flood forecasting for an upland catchment. Hydrological Processes, Londres, v. 16, n. 5, p. 1033–1046, 2002.
CATTEDDU, Daniele; HOGBEN, Giles. Cloud Computing Security Risk Assessment. Heraklion: ENISA, 2009.
CLOUD SECURITY ALLIANCE. CSA Security Guidance v. 4., p. 152, 2017. Disponível em: https://cloudsecurityalliance.org/download/security-. Acesso em: 17 abr. 2020.
JANSEN, Wayne; GRANCE, Timothy. Guidelines on security and privacy in public cloud computing. Gaithersburg, MD: [s. n.], 2011. Disponível em: https://doi.org/10.6028/NIST.SP.800-144. Acesso em: 15 abr. 2020.
JONES, Steve et al. Risks and rewards of cloud computing in the UK public sector: A reflection on three Organisational case studies. Information Systems Frontiers, [s. l.], v. 21, n. 2, p. 359–382, 2019. Disponível em: https://doi.org/10.1007/s10796-017-9756-0. Acesso em: 22 out. 2020.
KITCHIN, Rob; TATE, Nick; NICHOLAS, J. Tate. Conducting Research in Human Geography: Theory, Methodology and Practice. 1. ed. Ann Arbor: Prentice Hall, 2000.
LONGHURST, Robyn. Semi-structured interviews and focus groups. Key methods in geography, Londres, UK, p. 103, 2010.
MARSTON, Sean et al. Cloud computing - The business perspective. Decision Support Systems, Miami, US, v. 51, n. 1, p. 176–189, 2011. Disponível em: https://doi.org/10.1016/j.dss.2010.12.006
MELL, P M; GRANCE, T. The NIST definition of cloud computingLecture Notes in Electrical Engineering. Gaithersburg, MD: [s. n.], 2011. Disponível em: https://doi.org/10.6028/NIST.SP.800-145. Acesso em: 15 abr. 2020.
MILES, Matthew B; HUBERMAN, A Michael. Qualitative data analysis: An expanded sourcebook. Londres: SAGE, 1994.
TANG, Wenzhe et al. Incentives in the Chinese Construction Industry. Journal of Construction Engineering and Management, Beijing, CH, v. 134, n. 7, p. 457-467, 2008. Disponível em: https://doi.org/10.1061/(ASCE)0733-9364(2008)134:7(457). Acesso em: 10 abr. 2020.
TAURION, Cezar. Cloud Computing: computação em nuvem: transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009. E-book.
VALENTINE, Gill. Tell me about... Using interviews as a research methodology apud Flowerdew, R. and Martin, D.(eds.). Methods in human geography: A guide for students doing a research project, Harlow, v. 2, p. 110-127, 2005. Disponível em: https://ucl.rl.talis.com/items/8DCA1D60-D21E-0B81-1790-4E27EC52DDCA.html. Acesso em: 10 abr. 2020.
VERAS, Manoel. Cloud Computing - Nova Arquitetura da TI. Rio de Janeiro: Brasport, 2012.
Published
Issue
Section
License
O conteúdo da revista é de acesso público e gratuito, podendo ser compartilhado de acordo com os termos da Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil. Você tem a liberdade de compartilhar — copiar, distribuir e transmitir a obra, sob as seguintes condições:
a) Atribuição — a atribuição deve ser feita quando alguém compartilhar um de seus artigos e deve sempre citar o nome da revista e o endereço do conteúdo compartilhado.
b) Uso não-comercial — você não pode usar esta obra para fins comerciais.
c) Vedada à criação de obras derivadas — você não pode alterar, transformar ou criar em cima desta obra.
Ficando claro que:
Renúncia — qualquer das condições acima pode ser renunciada se você obtiver permissão do titular dos direitos autorais. Domínio Público — onde a obra ou qualquer de seus elementos estiver em domínio público sob o direito aplicável, esta condição não é, de maneira alguma, afetada pela licença.
Outros Direitos — os seguintes direitos não são, de maneira alguma, afetados pela licença:
- Limitações e exceções aos direitos autorais ou quaisquer usos livres aplicáveis;
- os direitos morais do autor;
- direitos que outras pessoas podem ter sobre a obra ou sobre a utilização da obra, tais como direitos de imagem ou privacidade.
Aviso — para qualquer reutilização ou distribuição, você deve deixar claro a terceiros os termos da licença a que se encontra submetida esta obra.
A revista se reserva o direito de efetuar, nos originais, alterações de ordem normativa, ortográfica e gramatical, com vistas a manter o padrão culto da língua, respeitando, porém, o estilo dos autores.
Os trabalhos publicados passam a ser propriedade da revista Navus: Revista de Gestão e Tecnologia que deve ser consignada a fonte de publicação original. Os originais não serão devolvidos aos autores.
As opiniões emitidas pelos autores nos artigos são de sua exclusiva responsabilidade.
Esta obra está licenciada sob uma Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 4.0 Brasil.
