Quais os riscos de se colocar dados da Administração Pública na nuvem? Dados da Polícia Federal ou de Tribunais estão seguros lá? Qual o direcionamento do TCU como órgão fiscalizador?
São muitas as perguntas e poucas as respostas. E foi com esse propósito, de discutir o assunto e encontrar soluções, que a alta cúpula da Tecnologia da Informação (TI) do Serviço Público Federal dos três poderes federais, chamada de “TI Controle”, se reuniu no Superior Tribunal Militar (STM), na última sexta-feira (9).
Por mais de quatro horas, dezenas de servidores públicos e gestores discutiram as nuances do serviço nas nuvens e debateram amplamente sobre suas possibilidades e riscos. O evento foi aberto pelo vice-presidente do Superior Tribunal Militar (STM), ministro Artur Vidigal de Oliveira, e foi conduzido pelo diretor de Tecnologia da Informação do STM, Ianne Carvalho.
A primeira intervenção foi do Tribunal de Contas da União (TCU), que apresentou um panorama e a realidade hoje do uso do serviço de nuvem no serviço público federal.
O conceito de computação em nuvem (em inglês, cloud computing) refere-se à utilização da memória e da capacidade de armazenamento e cálculo de computadores e servidores compartilhados e interligados por meio da Internet, seguindo o princípio da computação em grade. O armazenamento de dados é feito em serviços que poderão ser acessados de qualquer lugar do mundo, a qualquer hora, não havendo necessidade de instalação de programas ou de armazenar dados. O acesso a programas, serviços e arquivos é remoto, através da Internet – daí a alusão à nuvem. O uso desse modelo (ambiente) é mais viável do que o uso de unidades físicas, de acordo com especialistas em TI.
Na palestra no STM, técnicos do TCU informaram que o órgão não determina o uso de tecnologia A ou B e que em toda licitação as alternativas devem ser avaliadas e comparadas, considerando, inclusive a necessidade do serviço, o TCO (Total Cost of Ownership) ou custo total da posse, e a análise de riscos.
Para os técnicos do TCU, a rastreabilidade é requisito fundamental, assim como é também o controle de acesso, a gestão de vulnerabilidade e logs de auditoria para diminuir os riscos de segurança. Além dos riscos de segurança, o TCU também abordou os riscos de contratação e gestão contratual e os riscos de governança.
De acordo com o secretário de fiscalização de TI do TCU, Márcio Rodrigo Braz, no final de 2014 e início de 2015, foi feito um levantamento sobre o uso do serviço de nuvem, que resultou no acórdão 739/2015-TCU. Este levantamento mostrou um panorama incipiente, de baixo volume, de contratação do serviço em nuvem por parte de órgãos públicos federais.
“Não temos um volume grande de contrato sendo realizado nessa plataforma. Há muitas discussões, muitos fóruns e muitos debates, como este de hoje da comunidade de TI controle. Mas as contratações são poucas”, afirmou. Para ele, os órgãos hoje estão tendo que planejar o uso deste serviço, fazendo avaliação de risco e tentando buscar projetos pilotos. “Mas ainda estamos no estágio inicial, começando a conhecer e a trabalhar com nuvem”.
Ainda segundo Márcio Rodrigo Braz, regra geral, não se pode dizer que o TCU apoia ou não apoia o uso da nuvem. “A nuvem é outra tecnologia, uma outra arquitetura, uma outra estratégia para o provimento do serviço de TI que precisa ser conhecida e considerada pelo gestor público no momento de projetar a solução, podendo usar um modelo de cloud pública, ou uma cloud privada , com provimento interno ou com provimento externo. De maneira geral, o gestor público precisa considerar essas várias alternativas, levando em conta os riscos, os custos, as necessidades de cada solução, tomar a melhorar direção”.
Por isso, continua ele, não podemos dizer que o TCU apoia ou não apoia o uso deste serviço. “O TCU acompanha e fiscaliza as decisões dos gestores no sentido de garantir que o interesse público seja preservado”.
Sobre riscos de “estar nas nuvens”, ele afirma que a análise de risco depende muito da sensibilidade da informação que está sendo tratada. “Por isso é fundamental que seja feita a classificação da informação, a criticidade dos arquivos que estão sendo colocados, seja na nuvem, seja transportados por uma rede pública ou privada. É preciso conhecer a sensibilidade dessas informações, para aí sim tomar as medidas e controle adequados”.
Há risco de governança das informações, riscos contratuais que precisam ser considerados e também o risco de segurança. “Todo esse panorama precisa ser conhecido para que a melhor decisão seja tomada. E há também o risco reverso, que é aquele de não se aproveitar a potencialidade da nuvem. Então temos que olhar os riscos de utilização da nuvem assim como também os risco de não se utilizar os benefícios e a agilidade ou a redução de custo que a nuvem pode trazer, se bem utilizado”, explica o Braz.
Dez anos de TI Controle
Há dez anos, desde 2006, foi criada uma comunidade de tecnologia, chamada de “ TI Controle”, pelo Tribunal de Contas da União (TCU) e pela Controladoria-Geral da União. Madura, hoje a comunidade reúne órgãos como Conselho Nacional de Justiça (CNJ), Tribunal de Contas da União, Superior Tribunal Militar, Supremo Tribunal Federal, tribunais superiores, Tribunais dos estados, Senado, Câmara dos deputados, Receita Federal, Ministério do Planejamento, Banco Central, Polícia Federal, agências reguladoras, CGU e outros órgãos federais.
Segundo o Diretor de Tecnologia da Informação do STM, Ianne Carvalho, o objetivo da comunidade “TI Controle” é unir as áreas de TI de órgãos dos três poderes federais para debater temas de grande relevância na área de tecnologia da informação.
“A comunidade tem contribuído há dez anos, desde 2006, com grande trabalhos, desde a contratação de fábrica de software e modelos de contratação. Esses acórdãos que saem do TCU, sobre a área de TI, são enriquecidos pela comunidade”, afirma.
Ainda de acordo com Ianne Carvalho, os dirigentes máximos dos órgãos federais na área de TI integram essa comunidade. “Há uma lista de pessoas especialistas na área, que mensalmente participam de reuniões em vários órgãos visando debater temas de relevância como vimos aqui hoje, que foi o serviço em nuvem”.
O gestor afirma que a TI é uma área estratégica para a administração como um todo e está dentro dos objetivos estratégicos de cada órgão. \”Ela é a área considerada mais sensível, pois por ela é que diversos objetivos estratégicos serão alcançados. Quando se olha o planejamento estratégico dos vários órgãos vamos encontrar muitas iniciativas ligadas à TI.\”
Sobre o que a comunidade “TI Controle” tem trazido para os órgãos integrantes, Ianne Carvalho disse que o grande benefício é diminuir o retrabalho e os custos para a Administração Pública.
“O compartilhamento de informações visa justamente esse tipo de ação. O grande exemplo disso é o SEI (Sistema Eletrônico de Informação), um sistema hoje usado por toda a Administração Pública, no seus processos administrativos, gerando celeridade e enconomia de recursos públicos”, finalizou.
![\"DSC](\"http://www.stm.jus.br/images/DSC_2992.jpg\")
![\"DSC](\"http://www.stm.jus.br/images/DSC_3024.jpg\")
