República.Digital

Prezados amigos,

recentemente lançamos a República Digital e tenho concentrado meus novos artigos por lá.

Convido todos a conhecerem o espaço:

http://republica.digital

Forte abraço,

Márcio Braz

Anúncios

2016 na TI de governo em 5 assuntos: o que discutimos esse ano e o que nos reserva 2017

O tempo vai acabando para 2016 e é hora de começar a registrar as reflexões.

Embora tenha tido a oportunidade de falar e interagir com variados públicos em eventos de tecnologia e gestão nesse ano, 2016 foi um ano em que definitivamente li e ouvi muito mais do que falei (para o bem de todos!). Caminho para encerrar o ano com a convicção de que para avançarmos na promoção do Governo Digital vamos precisar de reformas que vão além de mudanças nos serviços oferecidos e no modelo de informatização que os suporta. Vamos precisar reformar convicções.

É nesse sentido que trago 5 assuntos sobre os quais acredito haver necessidade de amplo debate dos especialistas do governo. Por prudência, importa registrar, como sempre, que são argumentos pessoais e que não refletem necessariamente posições das instituições em que atuo, como a Sefti ou o TCU.

Número 1: Governo Digital

Governo digital foi, sem dúvida, o tema com maior prioridade nas discussões que envolveram a TI pública em 2016. Tratar desse assunto não foi (e nem é) tarefa simples. Exigiu muitos estudos, debates, leituras e repetidas análises sobre o tema e sobre os diversos assuntos que orbitam ao seu redor.

Governo digital não é governo eletrônico, conforme já escrevi em outra ocasião (Governo Eletrônico não é Digital (e o Tite entende tudo disso!)). Porém, mudar para o novo paradigma exige um repensar, tendo como verdadeira obsessão o aprimoramento da experiência do cidadão usuário de serviços públicos. .

No início de 2016, o governo publicava a Política de Governança Digital (Decreto 8.638/2016), mais ou menos na mesma época que recebi a missão de coordenar a área de fiscalização de TI no TCU, tendo governo digital como uma das prioridades da gestão.

Os resultados dos primeiros trabalhos de controle externo em governo digital devem ser apreciados pelo Tribunal em 2017, mas creio que apenas marcarão o início de uma longa caminhada. Como integrar e desburocratizar serviços concebidos sob a ótica interna das organizações públicas? Como engajar servidores e agentes públicos em uma onda de simplificação e de melhoria dos serviços ofertados? Como integrar serviços que não foram concebidos para funcionarem em conjunto? São muitas perguntas que ainda precisam de respostas para seguirmos avançando.

Número 2: Infraestrutura de TI (com ou sem computação em nuvem – IaaS)

Nosso modelo de informatização está fortemente orientado a silos. Salvo exceções aqui e acolá, e que por também estarem no plural confirmam a regra, carecemos de maior racionalidade no provimento de infraestrutura de TI no governo. Alguns países que avançaram em governo digital, percorreram etapas críticas de consolidação e de compartilhamento de infraestrutura.

Devemos ter uma rede única e almejar um modelo com 1, 2 ou um conjunto certo de datacenters de governo, integrados entre si, como fizeram outros países? Não sei, mas tenho certeza que, com recursos financeiros limitados, e com recursos humanos muitas vezes contados nos dedos das mãos, é inviável e dispendioso um modelo em que todos executam aquisição de equipamentos de rede, gestão de contratos de suporte, proteção e configuração de mecanismos de proteção, gestão de mudanças, entre vários outros processos típicos de infraestrutura.

Embora nuvem possa ser considerada uma resposta à questão das dificuldades com infraestrutura, creio que dependeremos muito dos modelos que venham a ser adotados, pois, apesar dos ganhos, não estaremos isentos da complexidade de novos processos que chegam com a administração dessas nuvens, nem de controles que precisaremos adotar para tratar determinados riscos. Impende, portanto, discutir modelos que não repitam os equívocos da gestão em silos e sem escala. Nuvem pode ser parte da solução, mas sozinha não é A solução.

Número 3: Desenvolvimento de Software

Assim como a infraestrutura, precisamos discutir a forma como estamos construindo software. Com o advento do chamado novo modelo de contratações, o desenvolvimento de software concentrou-se na contratação de fábricas de software, de empresas públicas ou no desenvolvimento in-house.

Independentemente das nuances de cada modelo, será que ainda há oportunidades a explorar para propiciar ganhos de escala no desenvolvimento de soluções? Acredito que sim. Não só podemos avançar na adoção de plataformas, no compartilhamento de soluções e no provimento centralizado de serviços comuns, conforme já temos discutido, mas também temos a ganhar se amadurecermos as discussões em torno de uma arquitetura de software para o governo que fomente o compartilhamento, o reuso de código e o desenvolvimento em rede. Aliás, se já houver alguma iniciativa nesse sentido, por favor, comentem, ficaria feliz em saber.

Embora não seja especialista em E-Ping, percebo que as contratações, em geral, dispõem requisitos específicos aos ambientes tecnológicos de cada entidade, sendo baixo o nosso nível de uniformização. Aliás, esse é uma das razões que justifica a recomendação do TCU à STI/MP no Acórdão 2.362/2015-Plenário para que orientasse o SISP a não adotar o sistema de registro de preços nesse tipo de contratação:

9.1.3.2. absterem-se de realizar contratação de serviço de desenvolvimento de software por meio de adesão a atas de registro de preço, utilizando desse expediente somente quando os requisitos da solução de tecnologia da informação a ser contratada, como por exemplo plataforma de hardware e software, linguagens de programação, processo de software e níveis de serviços, sejam equivalentes aos do órgão gerenciador da ata a ser aderida; (seção 5.1) 

Por isso, pergunto: será que não teríamos ganhos de escala se pudéssemos articular redes de conhecimento e interação entre nossos melhores arquitetos de software com vistas a desenvolver uma arquitetura de software de referência para o governo? Ainda que tenhamos diferentes modelos de provimento, todos eles poderiam se beneficiar do do reuso, do peer-review, da redução de dependência de pessoas ou empresas, entre outros benefícios próprios do compartilhamento.

O amadurecimento de arquitetura de software, em adição ao amadurecimento da adoção de modelo de arquitetura organizacional, parece ser um caminho importante a trilhar pelo governo.

Número 4: Compartilhamento de dados

Impossível deixar de citar. “Digital is about data”, diz o Gartner. A necessidade de integrar e simplificar serviços e aplicações demanda formas mais otimizadas de compartilhamento de informações.

Novamente, a esperança de avanços se deu a partir da edição do Decreto 8.789/2016. Não somente pela regulamentação em si, mas pela demonstração de que o Governo entende que a importância das informações para a formulação de políticas públicas, para o controle de gastos públicos e para a modernização dos serviços oferecidos.

Dados e informações no mundo todo demandam atenção de governos, mercados e cidadãos. Ora pela transparência que podem propiciar, ora pelo potencial econômico e ora pelo risco de mau uso. Com o advento de tecnologias como inteligência artificial, data analytics, big data, e com a oferta de alto poder de computação a custos cada vez menores, as discussões sobre o uso de dados subiram no palco principal e de lá não devem sair tão cedo.

Número 5: Governança de TI em nível de Estado

Por fim, esse é daqueles assuntos que ainda estamos apenas arranhando a superfície. Desde o dia em que, atuando em um projeto cooperativo internacional, ouvi falar pela primeira vez em State Level IT Audit, despertei e passei a defender que elevássemos nossas discussões sobre governança de TI para um novo patamar: o plano do Estado brasileiro.

A necessidade de governança de TI em nível de Estado está diretamente ligada à noção de Centro de Governo – conceito difundido pela OCDE e internalizado pelo TCU em seu referencial para avaliação (Referencial – Centro de Governo). De acordo com o referencial, “O Centro de Governo (CG) de uma nação é uma instituição ou grupo de instituições que fornece apoio ao chefe do poder executivo. Enquanto os ministérios de linha se preocupam com a atuação setorial do poder público, o CG é responsável por olhar a totalidade da ação governamental e assegurar coerência e coesão às diversas iniciativas propostas pelo governo eleito.”

O centro de governo visa prover uma abordagem do governo como um todo (whole-of-government) para problemas e questões transversais, em vez de se esperar que cada agência governamental resolva a mesma questão à sua maneira.

Os três primeiros assuntos tratados nesse post – governo digital, infraestrutura de TI e desenvolvimento de software – são apenas alguns exemplos de temas transversais que requerem maior governança de TI em nível de Estado. Some-se a eles a necessidade premente de integrarmos aplicações e informações para prover melhores serviços, e temos um prato cheio de demandas para atuação em nível transversal.

E essa, diga-se de passagem, não é uma questão tipicamente tupiniquim. Todos os países que buscaram avançar do paradigma de governo eletrônico para o governo digital tiveram que enfrentar essa questão. Não há um modelo único garantidamente vencedor: comitês interorganizacionais de alto escalão, CIO de governo com superpoderes, agências executivas ligadas à alta administração, ministérios governantes, enfim, são variadas opções. Porém, cabe a nós – governo, mercado, academia e sociedade – estudarmos as lições aprendidas com sucessos e insucessos do passado e com as experiências bem ou mal sucedidas de outros países, para estabelecer o modelo que pode efetivamente nos ajudar a subir de patamar de qualidade na entrega de serviços com uso de TI.

Esses foram alguns dos assuntos em 2016 e que acredito devam prosseguir atraindo atenções em 2017. Mas, será mesmo? E o que vem pela frente em nosso setor? Fica a pergunta.

Governo Eletrônico não é Digital (e o Tite entende tudo disso!)

Muito se debate a respeito do recente sucesso da seleção brasileira. É indiscutível e notável o desempenho da seleção sob o comando de Tite. Os números, os resultados e o jogo dentro de campo agradam a torcida de forma quase unânime. Fez o brasileiro mais cético ficar menos receoso de voltar ao Mineirão para ver o atropelo sobre a Argentina. Somado ao recente sucesso fora de casa contra o Peru, o time registra marca impressionante em se tratando de eliminatórias para uma copa.

O desempenho do Brasil de Tite pode nos ajudar a entender um pouco do contexto do nosso provimento de serviços públicos pela internet e deixar o assunto um pouco mais leve (ao menos no estágio atual das eliminatórias!). Mas, por ora, permita-me introduzir o assunto do post…

No último dia 10 de novembro, ministrei a palestra “De governança a  serviços digitais. O que mudou (e o que precisa mudar) na TI pública” no 2º Seminário Brasil 100% Digital (www.brasildigital.gov.br), realizado em Brasília em parceria pelo TCU, Min. do Planejamento e TST. A gravação da palestra está no YouTube: https://www.youtube.com/watch?v=IyrgCH8rcdk.

Iniciei minha palestra enunciando o que, em minha leitura, significaram avanços estruturais relevantes na TI pública nos últimos 10 anos. Um dos principais foi a melhoria na capacidade de planejamento de TI. O índice de organizações federais que possuem planos de TI mais que dobrou em seis anos, subindo de 36.9% para quase 80% atualmente. Mudança que precisa ser comemorada e sustentada, pois é pilar para futuros avanços.

No entanto, o cidadão ainda está insatisfeito com a qualidade dos serviços públicos. E não é sem razão. São as incontáveis horas em filas, o excesso de burocracia, os sistemas fora do ar, os requerimentos de informações que já são do Estado, entre outras agruras que cidadãos e empresas vivenciam diariamente e que arrastam nossos níveis de competitividade para baixo. Nesse contexto, a agenda digital ganha maior relevância.

Assim, fiz questão de debater no evento minhas impressões pessoais sobre o tema governo digital. Aliás, digital está na moda, não? Se digital é hype, eletrônico é vintage! Qualquer organização que queira ser competitiva no mercado já elaborou sua estratégia digital! Discute-se a transformação digital a todo o tempo e quem vai liderar esse processo. E assim governos ao redor do mundo também entraram nessa.

Na apresentação, em síntese, minha principal mensagem foi: governo digital não é governo eletrônico, e mudanças serão necessárias para que possamos avançar do paradigma eletrônico para o digital. Precisaremos rediscutir o modelo de informatização do setor público, mas, em especial, o desenho de nossos serviços públicos para que o novo patamar seja atingido.

Evidentemente, na prática, tudo se concretiza em bits e bytes, se é que isso é possível.  Mas a clareza de concepção é necessária para se compreender as mudanças. Não vou me aprofundar nesse aspecto, pois muita gente já fez isso melhor do que eu seria capaz de fazer. Para quem deseja saber mais, recomendo a leitura de publicações da OCDE (http://migre.me/vvpCne da ONU (http://migre.me/vvpDd).

De maneira geral, e-government (ou governo eletrônico) remetia à passagem de serviços realizados de maneira tradicional, em ambientes físicos, para o mundo eletrônico ou virtual. Em resumo, era informatizar os processos já existentes.

O conceito de governo digital, ao contrário, implica na modernização dos serviços públicos, com o redesenho de processos com foco obsessivo na melhoria da experiência do cidadão, usuário dos serviços públicos.

(Pergunta do leitor: – Esqueceu do Tite?)

Esqueci não. A mudança na forma de organização tática e de funcionamento da seleção brasileira é inspiradora. Conhecido pelo estilo defensivo (e chamado de retranqueiro) em suas passagens modestas pelo Internacional, Tite levou um elenco médio (na minha opinião) do Corinthians a reiterados sucessos  (Vagner Love foi artilheiro com ele). E agora começa a repetir a dose na seleção liderando com folga as eliminatórias. É a #titemania voando alto.

Acredito não haver muitos segredos no sucesso de Tite sob o aspecto da gestão, mas o básico muito bem feito: liderança, planejamento, trabalho, estudo do adversário, mais trabalho, treinamentos dirigidos, pulso na hora mudar e mais trabalho. O que se vê é uma equipe em funcionamento. Passamos de modelo não funcional – pensado e discutido o tempo todo em torno de Neymar, para um conjunto taticamente organizado, que se movimenta com harmonia e ocupa espaços com eficiência – algo raro em terras tupiniquins.

A orquestração promovida por Tite em seus times é o elemento basilar da mudança de governo eletrônico para governo digital. Sem estratégia e organização das peças em campo, não é possível passar de um modelo ao outro. Explico.

A simplificação de processos e redução da burocracia, com a melhora na entrega para o cidadão, exige, necessariamente, mudança no desenho desses serviços. E isso implica em intensa integração de processos e organizações, algo que não estamos acostumados a fazer.

Talvez a face mais visível do governo digital é a integração dos portais e a construção de um canal único de interação com o cidadão. Um portal central onde o cidadão se autentica e passa a ter acesso a serviços providos por várias agências governamentais de maneira integrada, podendo emitir requerimentos e acompanhar o andamento de suas solicitações. No Brasil, já tivemos diversas iniciativas para criar portais de interação com o cidadão, mas, a cada nova tentativa, terminamos por colecionar um novo portal. Como referência, no evento citei o portal australiano MyGov (https://my.gov.au/), mas o portal do Reino Unido talvez seja o case de maior repercussão internacional. Não deixe de conhecer a transformação que eles fizeram: https://www.youtube.com/watch?v=4_1gld1PIkA.

Se a face mais visível é o estabelecimento de um portal único, a mais estruturante talvez seja a criação de plataformas – assunto que vou reservar para um próximo post.

Bem, mas, de maneira geral, a forma como construímos soluções precisa passar por mudanças. O modelo estruturado em silos se esgotou. Esse tema é vasto e o próprio TCU já se posicionou mais de uma vez sobre ele, por exemplo, em recomendação dirigida ao Planejamento no Acórdão 2.362/2015-TCU-Plenário:

9.1.1. efetue levantamento a fim de identificar demandas de soluções de TI comuns às organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp), com vistas a analisar a oportunidade, a conveniência e a viabilidade de implementar o provimento de modo padronizado ou centralizado dessas soluções para as organizações do Sisp;

Embora o processo eletrônico nacional seja uma conquista que vem se consolidando (http://migre.me/vv8eg), ainda há muito o que se fazer, conforme demonstrou auditoria do Min. da Transparência (CGU): 95 organizações públicas estavam em processo de produção ou aquisição de software para gestão recursos humanos: http://migre.me/vv8mH. Em tempos de dificuldades econômicas, ganhar em eficiência e escala no provimento de TI é mais que necessário, torna-se questão de responsabilidade fiscal!

E essa não é uma realidade só brasileira. Países grandes como o Brasil e/ou com complexas estruturas governamentais estão tendo que lidar com a revisão de seus modelos. Acho que esse vídeo do GDS/UK resume bem a questão: https://youtu.be/ZzPU6Pdw05s?list=PL_lh3DTvXlt1_WfWBYB2Q_fXPRl4ckw5d.

Nesse sentido, precisaremos avançar também em outros pontos que discuti na apresentação e que podemos aprofundar em outro momento. São eles:

  • compartilhamento de infraestrutura
  • adoção de plataformas
  • remoção de barreiras ao intercâmbio de dados
  • conhecimento das necessidades e do perfil do cidadão
  • provimento de serviços para dispositivos móveis
  • atuação das empresas públicas de TI

Foi com governança que fechei minha apresentação no evento, e com ela gostaria de retomar a analogia com a seleção de Tite. Tenho debatido em quase todos os fóruns a que vou a importância do estabelecimento da governança de estado sobre a TI pública. A organização da TI de um país grande é complexa, com diversos agentes e partes interessadas interagindo: gestores, servidores, cidadãos, empresas privadas, empresas públicas de TI, órgãos de controle, órgãos centrais, órgãos reguladores, entre outros. Estabelecer o equilíbrio entre os interesses das partes interessadas e  dirigir a atuação dos agentes é função típica de governança, em benefício do principal: a sociedade.

Atualmente, no âmbito da TI os órgãos centrais têm buscado desempenhar a maior parte dessa função, com destaque para atuação da Secretaria de TI do Ministério do Planejamento e do Conselho Nacional de Justiça. No entanto, é preciso avançar. Há discussões relevantes, como a priorização de projetos, a distribuição do orçamento federal de TI, o direcionamento da atuação das empresas públicas, a mediação de conflitos sobre dados, entre outros, para os quais ainda não temos um arranjo institucional adequado e empoderado para tanto. Independentemente do modelo, mais centralizado ou mais distribuído, somente diretivo ou com apoio de um braço executivo, aprimorar a governança de Estado sobre TI é fundamental para que possamos reduzir a burocracia, evitar a ineficiência da atuação em silos, melhorar a integração e avançar rumo ao governo digital.

No fundo foi isso que Tite conseguiu: fazer com que a seleção não funcionasse apenas como uma seleção de craques, mas como um time que busca objetivos comuns por meio da ocupação simbiótica dos espaços. E, assim, ele vai acumulando sucessos. Desejo muito sucesso para ele e também para nós em nossa estrada rumo ao governo digital.

E aí, o governo como plataforma precisa de uma plataforma?

Durante a preparação da palestra “Como preparar o setor público para a transformação digital?“, que ministrei no mês passado, na abertura de debate sobre governo digital e serviços em nuvem promovido pelo IBGP no Fórum de Governança de TIC das Instituições Federais de Ensino, lancei a pergunta: será que chegou a hora de termos no Brasil uma plataforma digital integrada de serviços públicos?

Em 2016, tivemos boas notícias que nos trouxeram esperança a respeito do amadurecimento da aplicação da tecnologia da informação aos nossos serviços públicos. Como exemplo, a edição do Decreto 8.638/2016 (Política de Governança Digital), seguida da publicação da Estratégia de Governança Digital, capitaneadas pela Secretaria de Tecnologia da Informação do Ministério do Planejamento (STI/MP).

A nova política dá verdadeira repaginada na estratégia central de aplicação da tecnologia da informação aos serviços públicos ao internalizar princípios dos mais modernos em termos de concepção de governo digital aplicados ao redor do mundo. Destaco alguns (Art. 3º do Decreto 8.638/16, com comentários meus em parênteses):

I – foco nas necessidades da sociedade;  (e não nas necessidades do governo ou dos órgãos)

II – abertura e transparência;  (maior proximidade com a sociedade)

III – compartilhamento da capacidade de serviço; (mais eficiência e agilidade)

IV – simplicidade;  (precisamos enfrentar a cultura da burocracia)

V – priorização de serviços públicos disponibilizados em meio digital;  (o “digital by default” é princípio adotado nos países mais desenvolvidos digitalmente)

VII – participação e controle social (o cidadão como partícipe na construção das políticas e serviços públicos);

VIII – governo como plataforma;   (a estruturação de plataforma para que a sociedade atue em conjunto com o governo no provimento de serviços públicos).

Já a Estratégia de Governança Digital, por sua vez, avança no nível de detalhamento da Política, estabelecendo objetivos estratégicos, um deles que dialoga centralmente com a palestra que fiz. Trata-se do objetivo OE 7:  “Compartilhar e integrar dados, processos, sistemas, serviços e infraestrutura“.

Que a integração e colaboração é um desafio central para o sucesso das iniciativas digitais não restam dúvidas. Diuturnamente o tema é tratado em reuniões e seminários. Porém, como fazer? A própria estratégia destaca que, em 2014, o programa E-Ping completou 10 anos, o qual tem buscado tratar da árdua missão de promover a interoperabilidade, integração e padronização entre as organizações federais. Recentemente, inclusive, buscando induzir no governo os conceitos de arquitetura corporativa, materializados no framework FACIN, em consulta pública.

Nesse sentido, torna-se fundamental  intensificar a discussão a respeito de como prosseguiremos buscando atingir o objetivo 07. A EGD traz consigo 4 iniciativas estratégicas:

IE.07.01 Implantar o catálogo de sistemas de informação do SISP.

IE.07.02 Compartilhar estruturas de datacenter dos órgãos e ampliar a oferta de serviços em nuvem nas empresas de governo.

IE.07.03 Incentivar o desenvolvimento compartilhado de sistemas que atendam necessidades comuns da administração pública entre os órgãos, observando e evoluindo o modelo do software público brasileiro.

IE 7.04 Integrar dados e informações das ouvidorias públicas. CGU

São iniciativas da mais alta relevância, porém, pergunto-me, se uma outra iniciativa não devesse estar contemplada e reforçando as demais: a construção de uma plataforma central e integrada de serviços públicos digitais.

No final da década de 90, quando comecei meus estudos de programação, fui apresentado a princípios clássicos como a modularização, componentização e o reuso de código. Posteriormente, com a orientação a objetos, passamos a tratar de encapsulamento, abstração, herança e extensão de classes, tudo com o objetivo de acelerar o desenvolvimento e reduzir os esforços de manutenção. Na mesma linha, a arquitetura SOA pregava o uso intenso de interfaces e de um barramento de serviços.

O objetivo desses paradigmas diferentes, mas complementares, é, em essência, evitar o retrabalho, favorecer o compartilhamento de dados e de serviços. Observem que essa é a mesma tônica do Objetivo Estratégico 7 da nova EGD, porém em âmbito de Estado.

Em alguns aspectos, o governo federal avançou na construção de plataformas centrais. São exemplos, o Portal de Transparência (transparencia.gov.br), o Portal de Dados Abertos (dados.gov.br), o Portal de Serviços (servicos.gov.br). Este último, aliás, caminha, segundo a nova EGD, para se tornar o canal central de serviços do governo com o cidadão, uma vez que é iniciativa estratégica do OE-4 para expansão na prestação de serviços digitais.

A OCDE, ao publicar recomendações ao Conselho da instituição a respeito de estratégias de governo digital, definiu o termo governo digital e indicou a necessidade de um ecossistema para seu provimento: “Digital Government refers to the use of digital technologies, as an integrated part of governments’ modernisation strategies, to create public value. It relies on a digital government ecosystem comprised of government actors, non-governmental organisations, businesses, citizens’ associations and individuals which supports the production of and access to data, services and content through interactions with the government.“.

O desenvolvimento desse ecossistema, no entanto, muitas vezes depende da construção de plataformas para fomentar a colaboração entre esse atores, em linha com o princípio VIII, indicado no art. 3º do Decreto 8.638/2016. Vamos, a seguir, discutir algumas experiências internacionais.

A respeito dessas plataformas, no ano passado, durante o Seminário Internacional Brasil 100% Digital, o representante do governo sul-coreano, Doo Yeong Choi, em sua palestra comentou sobre as tarefas estratégicas para o governo digital naquele país. Entre elas, o estabelecimento de um “Cloud-based Framework for Collaboration and Sharing Administration“. Tal objetivo já constava do plano 2011-2015 (Smart Government Implementation Plan – 2011-2015) como a 5ª tarefa da agenda: Build strong e-Government infrastructure.

Em esteira semelhante, caminha outro país reconhecido pelo avanço digital: o Reino Unido. O GDS (Government Digital Service), unidade do governo responsável pelas iniciativas e inovações digitais, divulgou em seu blog, no fim do ano passado, a respeito da construção de uma plataforma para hospedar serviços digitais. Para entender a natureza do post, basta ver o primeiro subtítulo: “Repetition, repetition, repetition“. A iniciativa prevê a construção de uma arquitetura também baseada em nuvem (PaaS), de forma a facilitar e otimizar os custos com provimento de serviços. Vejo, nessa iniciativa, conexão com IE.07.02 que busca ampliar o provimento de serviços em nuvem pelas empresas públicas.

Como diz o post do governo britânico, outra razão para o provimento da plataforma é a obtenção de maior agilidade em aquisições públicas, normalmente dispersas por várias agências: “One thing that takes a lot of time in government is procuring commercial services and making sure they are accredited. If we could do that once, for the PaaS, then that could save service teams a great deal of time, while making sure that those aspects are being handled in the correct way“.

O governo australiano, também reconhecido pelo avanço digital, por sua vez, avança no conceito de governo como plataforma ao discutir boas práticas para o desenvolvimento de brokers independentes de serviços públicos digitais:

“It is likely that the ambitious goals for large-scale adoption of digital government will only be achieved if governments encourage the involvement of independent service brokers to complement the role of public sector service brokers. However, there is currently little guidance on best practice models for agencies seeking to collaborate with independent service brokers or the other way around.”

O programa neozelandês de desenvolvimento digital também avançou por meio do compartilhamento de infraestrutura entre suas agências, inovação citada pela OCDE em seu site: “They contribute to a single, coherent ICT ecosystem that supports radically transformed public services. The ICT ecosystem is centrally led and collaboratively delivered which allows government to share investment for the development of fit for purpose capability.“. E que, segundo a publicação, já apresenta resultados:

  • The Government ICT Common Capabilities are run out of ten state-of-the-art data centres across NZ. This now provides services for over 115 agencies.
  • The consolidation of services is providing distinct savings and efficiency benefits to Government.

São muitas experiências internacionais trilhando esse caminho.

No governo federal brasileiro, 372 organizações públicas participaram  da última edição do levantamento de governança de TI do Tribunal de Contas da União. De acordo com o informativo, 22% das organizações, ou seja,  81 organizações declararam encontrar-se no nível mais elementar de organização. Somadas aos 39% de organizações no nível básico, são 226 organizações públicas em estágio inicial/básico de governança. Não parece fazer sentido que, organizações que precisam priorizar seus esforços e otimizar a utilização dos seus escassos recursos humanos, continuem a despender recursos e esforços que poderiam ser providos de maneira compartilhada para grande parte da administração.

De maneira análoga, a questão da duplicação de esforços no desenvolvimento de sistemas também foi objeto pelo TCU no trabalho que resultou no Acórdão 2.362/2015-Plenário:

  1. Há sistemas, denominados no presente relatório como sistemas transversais, que se dedicam à automatização de atividades estatais replicadas em diversas organizações, independentemente das especificidades das áreas de atuação de cada uma delas. Como exemplos de atividades suportadas por sistemas transversais citam-se: ouvidoria, recursos humanos, comunicações administrativas, agenda, gestão e acompanhamento contratual, gestão de processos, finanças e contabilidade, workflow, gestão de ativos patrimoniais, entre outras.
  2. Uma maneira possível de implementação para atender a esses tipos de demandas é o provimento de solução padronizada, como ocorre com o Sistema Eletrônico de Informações (SEI), iniciativa da SLTI/MP por meio de software público, que se encontra implantada em diversos órgãos da APF e em implantação em diversos outros.
  3. Outra forma pode ser o provimento de maneira centralizada, que pode ser tratado, em sentido geral, como uma forma de computação em nuvem (cloud computing). Essa também deve ser vista como real possibilidade de reduzir custos e atender, de forma mais efetiva, às demandas.
  4. Nesse sentido, há sistemas como o Sistema Integrado de Administração Financeira (Siafi), o Sistema Integrado de Administração de Serviços Gerais (Siasg), o Sistema de Gestão de Convênios e Contratos de Repasse (Siconv), o Sistema Integrado de Administração de Recursos Humanos (Siape), entre outros, que vêm desempenhando o seu papel há anos e automatizando os respectivos processos de trabalho.

O TCU então recomendou à SLTI/MP (atualmente STI):

9.1.1. efetue levantamento a fim de identificar demandas de soluções de TI comuns às organizações do Sistema de Administração dos Recursos de Tecnologia da Informação (Sisp), com vistas a analisar a oportunidade, a conveniência e a viabilidade de implementar o provimento de modo padronizado ou centralizado dessas soluções para as organizações do Sisp; (seção 3.1).

Por todos esses fatores, acredito que resta clara a necessidade de evitar a sobreposição de atividades e de racionalização dos esforços de contratações, de provimento de infraestrutura, bem como de engenharia de sistemas na administração pública, em especial em tempos de restrições orçamentárias que ultimam a necessidade de aperfeiçoamento das engrenagens administrativas.

A contratação de serviços em nuvem na administração pública

Embora os desafios trazidos pela contratação de serviços em nuvem não sejam “privilégio” da administração pública, requisitos de segurança destinados a proteger a soberania nacional sobre as informações do Estado e um marco regulatório complexo representam questões adicionais com as quais se depara o gestor público.

No dia 29 de setembro, tive a oportunidade de abrir evento do Instituto Brasileiro de Governança Pública (1º Fórum de Segurança e Tecnologias da Informação) com uma palestra sobre contratação de serviços em nuvem. A palestra foi seguida por um debate sobre questões ligadas aos desafios desse tipo de serviço e quais aspectos devem ser observados em uma contratação do gênero.

Em minha apresentação (link: Contratações em nuvem), tratei basicamente de dois aspectos: a nuvem como solução e a contratação desse tipo de serviço.

A nuvem como solução

A forma como muitas questões e aspectos dos serviços de TI são solucionadas por meio do emprego da tecnologia de nuvens computacionais é bastante diferente. Cloud computing nos ajuda a resolver problemas que costumam dificultar e muito a vida dos gestores, tais como o tempo para disponibilização de novos serviços, a gestão de capacidade, o tratamento de demandas sazonais, o tratamento de picos de demanda e a forma de remuneração de serviços. Tudo isso é significativamente modificado pelos ambientes em nuvem.

Isso tudo decorre de uma série de características do modelo, suportada por um conjunto específico de tecnologias e processos. Elasticidade, pagamento por uso e virtualização são algumas das principais e que escolhi para discutir no evento. A elasticidade, por exemplo, permite que o provimento se ajuste à demanda, evitando altos investimentos iniciais com o provimento de infraestrutura que talvez nunca venha a ser plenamente utilizada.

A nuvem como uma contratação

Sob o aspecto da contratação desse tipo de serviço em organizações públicas, sujeitas ao nosso complexo ordenamento jurídico, uma série de questões emergem.

Quais os modelos de oferta de serviço e de distribuição existentes no ambiente de nuvem? Contratar ou não serviços nessa plataforma? Quais os fatores de decisão? Qual a legislação a ser observada? O Decreto 8.135 impõe restrições em função dos requisitos de segurança? Há pré-requisitos para uma organização que deseja contratar? Quais os principais riscos?

São muitas questões… muitas. E muitas delas sem respostas definitivas. Ainda temos muito trabalho pela frente para amadurecer e adaptar a forma como tradicionalmente contratamos serviços ao universo da computação em nuvem.

Por exemplo, a questão orçamentária suscita muitas dúvidas. No evento, por meio de analogias, tentei apresentar nuances específicas da elaboração de orçamentos para contratos de serviços em nuvem. A mudança de Capex (investimentos ou despesas de capital) para Opex (despesas operacionais ou de custeio) representa uma mudança significativa e que precisa ser compreendida pelo gestor, em especial quando tratamos de contratações de infraestrutura como serviço (IaaS).

Anteriormente, para a disponibilização de um novo serviço de TI, caso não existisse capacidade ociosa pré-existente, seria necessário um significativo investimento para a implantação ou ampliação da infraestrutura existente por meio da aquisição de equipamentos e, possivelmente, ajustes no ambiente (facilities). Posteriormente, no entanto, a instituição arcaria, basicamente, com as despesas de manutenção e operação do equipamento, além de energia elétrica. Já no caso dessa infraestrutura ser provida por nuvem, a situação se inverte. O investimento inicial não deverá ser tão alto e poderá ser ajustado conforme a demanda cresce. Entretanto, uma despesa mensal com o provimento do serviço surgirá e, a depender do seu grau de criticidade , os recursos para sua manutenção precisarão ser assegurados, para que o risco de interrupção do serviço por falta de pagamento não se concretize, assim como ocorre com água ou energia elétrica. Além disso, a natureza elástica do provimento pode implicar gastos além do planejado, o que precisa ser adequadamente monitorado pelo contratante. Portanto, em tempos de agudos contingenciamentos orçamentários, controles e planos se fazem necessários para que a migração para o ambiente de nuvem não amplie os riscos de indisponibilidade de serviço por falta de recursos financeiros.

Por fim, nada melhor do que aprender com a experiência de quem já está na frente. Encerrei minha apresentação com citações a relatório divulgado recentemente pelo GAO (órgão de função análoga ao TCU) sobre o estágio da adoção de cloud computing na administração pública dos Estados Unidos (GAO-14-753). Entre os desafios destacados pelo órgão americano de fiscalização, também estão as dificuldades com o novo modelo de contratação, o que, segundo eles, requer investimento e capacitação nos processos de procurement. Além disso, pela segunda vez os gestores americanos indicaram como um desafio o atendimento aos requisitos de segurança, preocupação permanente em terras ianques. Enfim, a experiência americana nos mostra que nossos problemas não são tão diferentes.

Essas e outras questões são objeto de um novo programa de treinamento que lancei na última semana, o Workshop de Contratação de Serviços em Nuvem. Será um espaço para muito debate e discussão de soluções para que o melhor dessa tecnologia possa ser aproveitado. Acredito que ainda há muito a se estudar, propor, avaliar, corrigir e, até mesmo, regulamentar. Acho que, para a administração pública, a mudança apenas começou!

Polêmicas e inovações nas certificações profissionais

O processo de certificação profissional em TI, não raro, é objeto de polêmicas.

Em toda roda de bar (sim, profissionais de TI também frequentam bares), alguém será capaz de apontar um mau profissional que também é certificado, como se isso fosse prova inconteste da falha do mecanismo. Não, não é.

A falha, se existe, está na suposição de que bastaria exigir uma certificação para selecionar um bom profissional.

Porém, quem conhece minimamente o mercado de TI sabe que certificações não representam garantia de qualidade do camarada que detém o título. Certificação não garante experiência prática, iniciativa, capacidade de trabalhar em equipe ou sob pressão. Nem muito menos garante a motivação do funcionário.

A esse respeito, recentemente li um artigo de um gerente de projetos bastante frustrado com o o nivelamento dos profissionais no mercado unicamente com base na exigência de certificação PMP. De fato, concordo com ele, não temos um mundo dividido entre bons gerentes de projetos certificados e maus gerentes não certificados. A realidade é mais complexa.

Mas, sendo assim, por que as certificações ainda têm grande valor nos processos seletivos? Seja no setor público ou no privado, no Brasil ou no exterior, as certificações são valorizadas pelo segmento. Por quê?

Entendo que, embora não configurem garantia de qualidade, certificações são formas de mitigar riscos no processo de seleção, bem como permitem definir requisitos mínimos de conhecimentos para a função a ser preenchida .Ao exigir uma certificação, a empresa limita seu universo de comparação a profissionais com aqueles requisitos mínimos.

Acredito, ainda, que as certificações têm grande valor na formatação de grades curriculares especializadas para determinadas atividades profissionais, funcionando de maneira complementar ao curriculum universitário, normalmente mais abrangente e estruturante. As certificações servem como guia para o aprendizado e a especialização.

Em especial para os iniciantes em uma carreira, as certificações são de grande importância para seu posicionamento no mercado. Não podendo contar com um “networking consolidado” e sem grandes realizações para apresentar, o jovem profissional encontra nas certificações um apoio para seu ingresso no mercado de trabalho.

No entanto, é necessária cautela.

Se, por um lado, as certificações podem demonstrar especialização em um ramo de atividade, também podem demonstrar que um profissional tende a ser generalista. Colecionar certificados com baixa correlação entre si pode sinalizar ao contratante que aquele profissional não encontrou sua vocação ou não está concentrado em uma esfera de atuação.

Para profissionais de gestão, consultoria ou de controle, ainda pode fazer sentido a certificação em vários ramos de atuação, uma vez que desses profissionais espera-se visão sistêmica e trânsito fácil pelas várias disciplinas objeto de sua atuação. Para o especialista, no entanto, a mensagem passada por certificações desconexas pode ser a oposta da pretendida.

O mercado de certificação, porém, também se reposiciona diante desses desafios.

Irei comentar agora sobre algumas novidades trazidas pela ISACA.

Na semana passada, a ISACA lançou seu novo programa de certificação em segurança cibernética baseado na plataforma CSX ou CiberSecurity Nexus.

As tradicionais certificações ISACA – CISA, CISM, CRISC, CGEIT – já eram baseadas não somente em provas de avaliação de conhecimento, mas também na verificação de requisitos de experiência dos profissionais. Agora, a ISACA dá um passo adiante e introduz as certificações baseadas em exames de performance.

Agora, o profissional que desejar uma das novas certificações no ramo de CyberSecurity irá ser avaliado em um laboratório virtual especialmente desenvolvido para examinar sua performance com base em cenários práticos e reais.

O novo modelo levou 2 anos para ser desenvolvido e envolveu mais de 100 especialistas da área. Ele visa, por um lado, prover maiores garantias de que os profissionais são realmente capacitados a exercer atividades de proteção e segurança cibernética. Por outro, o modelo de avaliação reconhece que não há um único curso de ação para identificar ameaças, proteger ativos e responder a ataques.

O laboratório será capaz de avaliar as ações tomadas pelo examinado e graduar suas respostas de acordo com critérios pré-definidos. Assim, espera-se que um profissional treinado e avaliado sob esse modelo seja capaz de imediatamente assumir atividades concretas ao ser contratado para tais funções.

Para a manutenção da certificação, além da realização de horas de treinamentos em ambientes práticos (não apenas treinamentos teóricos), o profissional precisará se submeter a novos testes no mais alto nível certificado a cada 3 anos.

Serão 7 novas certificações, disponibilizadas ao mercado ao longo do ano de 2015:
– CSX Practitioner
– CSX Especialist  (Identify, Detect, Protect, Respond e Recover)
– CSX Expert

Entendo que, no ramo da segurança cibernética, o novo modelo representará um novo patamar de acreditação dos profissionais, provendo maior segurança para empresas contratantes e indicando caminhos para quem busca especialização na área.

Ainda assim, as polêmicas sobre as certificações não terminarão tão cedo.

Fique à vontade para deixar sua opinião.

Para saber mais sobre as novas certificações Isaca, consulte:
http://www.isaca.org/About-ISACA/Press-room/News-Releases/2015/Pages/ISACA-First-to-Combine-Skills-based-Cybersecurity-Training-with-Performance-based-Exams-and-Certifications.aspx
http://www.isaca.org/cyber/Pages/csx-cybersecurity-nexus-certifications.aspx

Itaipu e a segurança da infraestrutura crítica nacional

Fiquei feliz ao ler a informação de que Foz do Iguaçu, minha terra natal, receberá um projeto-piloto de desenvolvimento de tecnologias para defesa cibernética de nossa infraestrutura: http://www.defesanet.com.br/cyberwar/noticia/18346/Foz-do-Iguacu-tera-polo-de-tecnologias-de-defesa-cibernetica-do-Brasil/. O projeto será realizado em laboratório inaugurado no Parque Tecnológico de Itaipu, o PTI.

Embora seja um tema objeto de grande atenção no exterior, em especial nos Estados Unidos, no Brasil ainda pouco se ouve falar em proteção das infraestruturas críticas (IC) do Estado fora dos círculos militares e de defesa. Já em 2010, o DSIC – Departamento de Segurança da Informação e Comunicações (GSI/PR) publicou um guia de referência para proteção das ICs. Mesmo assim, mesmo em congressos e eventos de segurança cibernética ou segurança da informação, o tema não costuma estar muito presente.

Talvez isso decorra da própria fragilidade de nosso ambiente educacional. Quantas de nossas escolas possuem especializações dedicadas ao tema? Quantas publicações e pesquisas temos nessa área? Daí, louvável a ideia de desenvolvermos uma escola nacional de defesa cibernética, projeto que se iniciou em 2014 (http://migre.me/pjk4l).

Itaipu sempre foi objeto de especial preocupação de quem mora ali, a poucos km de sua grande barragem. Desde criança, em meio a disputadas sessões do jogo do bafo, eram frequentes os debates sobre os efeitos que um eventual ataque à nossa hidrelétrica poderia causar. Havia quem jurasse que, se a barragem fosse danificada, o alagamento chegaria até Curitiba!

Os riscos, hoje, são também de outra natureza. Ataques cibernéticos recentes já demonstraram que infraestruturas são um alvo em potencial de governos e organizações adversárias. Talvez o primeiro e mais famoso caso até agora tenha sido o do vírus Stuxnet, que foi inserido em instalações nucleares iranianas. Especula-se que o vírus, que teria sido desenvolvido por um país, dado seu grau de sofisticação, tenha sido responsável por um atraso de até 5 anos no programa nuclear iraniano. É possível que nem um ataque físico fosse tão danoso.

Itaipu, dada sua relevância para nossa matriz energética, é um ativo fundamental a ser protegido. Quando criado, o Parque Tecnológico de Itaipu representou um grande salto para a região oeste do Paraná em termos de desenvolvimento tecnológico, permitindo a retenção de alunos da região em programas de pesquisa e atividades na área de ciência da computação. É uma região que, antes de sua criação, não tinha qualquer tradição nessa área e, quando muito, apenas exportava alunos para outras regiões do país. O PTI rompeu com essa situação e hoje consolida-se como um importante pólo regional de tecnologia. Que o sucesso do C.E.S.A.R, no Recife, inspire meus conterrâneos.

A área de defesa cibernética e proteção de nossa infraestrutura ainda é um campo recente que precisa ser melhor explorado no Brasil. Ano após ano, segurança cibernética e da informação tem sido a prioridade das agências governamentais americanas. E em 2015 não foi diferente (http://migre.me/pjpM8). Quiçá, Foz do Iguaçu possa aproveitar essa oportunidade para destacar-se nesse setor, gerando emprego e renda para região. Assim, além de oferecer energia para quase 40 milhões de brasileiros e as Cataratas mais bonitas do mundo, a região poderá contribuir com a segurança nacional.