Embora os desafios trazidos pela contratação de serviços em nuvem não sejam “privilégio” da administração pública, requisitos de segurança destinados a proteger a soberania nacional sobre as informações do Estado e um marco regulatório complexo representam questões adicionais com as quais se depara o gestor público.
No dia 29 de setembro, tive a oportunidade de abrir evento do Instituto Brasileiro de Governança Pública (1º Fórum de Segurança e Tecnologias da Informação) com uma palestra sobre contratação de serviços em nuvem. A palestra foi seguida por um debate sobre questões ligadas aos desafios desse tipo de serviço e quais aspectos devem ser observados em uma contratação do gênero.
Em minha apresentação (link: Contratações em nuvem), tratei basicamente de dois aspectos: a nuvem como solução e a contratação desse tipo de serviço.
A nuvem como solução
A forma como muitas questões e aspectos dos serviços de TI são solucionadas por meio do emprego da tecnologia de nuvens computacionais é bastante diferente. Cloud computing nos ajuda a resolver problemas que costumam dificultar e muito a vida dos gestores, tais como o tempo para disponibilização de novos serviços, a gestão de capacidade, o tratamento de demandas sazonais, o tratamento de picos de demanda e a forma de remuneração de serviços. Tudo isso é significativamente modificado pelos ambientes em nuvem.
Isso tudo decorre de uma série de características do modelo, suportada por um conjunto específico de tecnologias e processos. Elasticidade, pagamento por uso e virtualização são algumas das principais e que escolhi para discutir no evento. A elasticidade, por exemplo, permite que o provimento se ajuste à demanda, evitando altos investimentos iniciais com o provimento de infraestrutura que talvez nunca venha a ser plenamente utilizada.
A nuvem como uma contratação
Sob o aspecto da contratação desse tipo de serviço em organizações públicas, sujeitas ao nosso complexo ordenamento jurídico, uma série de questões emergem.
Quais os modelos de oferta de serviço e de distribuição existentes no ambiente de nuvem? Contratar ou não serviços nessa plataforma? Quais os fatores de decisão? Qual a legislação a ser observada? O Decreto 8.135 impõe restrições em função dos requisitos de segurança? Há pré-requisitos para uma organização que deseja contratar? Quais os principais riscos?
São muitas questões… muitas. E muitas delas sem respostas definitivas. Ainda temos muito trabalho pela frente para amadurecer e adaptar a forma como tradicionalmente contratamos serviços ao universo da computação em nuvem.
Por exemplo, a questão orçamentária suscita muitas dúvidas. No evento, por meio de analogias, tentei apresentar nuances específicas da elaboração de orçamentos para contratos de serviços em nuvem. A mudança de Capex (investimentos ou despesas de capital) para Opex (despesas operacionais ou de custeio) representa uma mudança significativa e que precisa ser compreendida pelo gestor, em especial quando tratamos de contratações de infraestrutura como serviço (IaaS).
Anteriormente, para a disponibilização de um novo serviço de TI, caso não existisse capacidade ociosa pré-existente, seria necessário um significativo investimento para a implantação ou ampliação da infraestrutura existente por meio da aquisição de equipamentos e, possivelmente, ajustes no ambiente (facilities). Posteriormente, no entanto, a instituição arcaria, basicamente, com as despesas de manutenção e operação do equipamento, além de energia elétrica. Já no caso dessa infraestrutura ser provida por nuvem, a situação se inverte. O investimento inicial não deverá ser tão alto e poderá ser ajustado conforme a demanda cresce. Entretanto, uma despesa mensal com o provimento do serviço surgirá e, a depender do seu grau de criticidade , os recursos para sua manutenção precisarão ser assegurados, para que o risco de interrupção do serviço por falta de pagamento não se concretize, assim como ocorre com água ou energia elétrica. Além disso, a natureza elástica do provimento pode implicar gastos além do planejado, o que precisa ser adequadamente monitorado pelo contratante. Portanto, em tempos de agudos contingenciamentos orçamentários, controles e planos se fazem necessários para que a migração para o ambiente de nuvem não amplie os riscos de indisponibilidade de serviço por falta de recursos financeiros.
Por fim, nada melhor do que aprender com a experiência de quem já está na frente. Encerrei minha apresentação com citações a relatório divulgado recentemente pelo GAO (órgão de função análoga ao TCU) sobre o estágio da adoção de cloud computing na administração pública dos Estados Unidos (GAO-14-753). Entre os desafios destacados pelo órgão americano de fiscalização, também estão as dificuldades com o novo modelo de contratação, o que, segundo eles, requer investimento e capacitação nos processos de procurement. Além disso, pela segunda vez os gestores americanos indicaram como um desafio o atendimento aos requisitos de segurança, preocupação permanente em terras ianques. Enfim, a experiência americana nos mostra que nossos problemas não são tão diferentes.
Essas e outras questões são objeto de um novo programa de treinamento que lancei na última semana, o Workshop de Contratação de Serviços em Nuvem. Será um espaço para muito debate e discussão de soluções para que o melhor dessa tecnologia possa ser aproveitado. Acredito que ainda há muito a se estudar, propor, avaliar, corrigir e, até mesmo, regulamentar. Acho que, para a administração pública, a mudança apenas começou!
Marcio Rodrigo Braz 