Alfredo Pupak Pereira Virote

EM DIREÇÃO A UMA PROPOSTA DE UTILIZAÇÃO DA
COMPUTAÇÃO EM NUVEM NA ADMINISTRAÇÃO PÚBLICA
FEDERAL: UM ESTUDO DE CASO NO INSTITUTO FEDERAL
GOIANO

Dissertação de Mestrado Profissional

Universidade Federal de Pernambuco
posgraduacao@cin.ufpe.br
www.cin.ufpe.br/~posgraduacao

RECIFE
2016

Universidade Federal de Pernambuco
Centro de Informática
Pós-graduação em Ciência da Computação

Alfredo Pupak Pereira Virote

EM DIREÇÃO A UMA PROPOSTA DE UTILIZAÇÃO DA
COMPUTAÇÃO EM NUVEM NA ADMINISTRAÇÃO PÚBLICA
FEDERAL: UM ESTUDO DE CASO NO INSTITUTO FEDERAL
GOIANO

Trabalho apresentado ao Programa de Pós-graduação em
Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco como requisito parcial
para obtenção do grau de Mestre Profissional em Ciência
da Computação.

Orientador: Vinicius Cardoso Garcia

RECIFE
2016

Alfredo Pupak Pereira Virote
Em Direção a Uma Proposta de Utilização da Computação em Nuvem na Administração Pública Federal: Um Estudo de Caso no Instituto Federal Goiano/ Alfredo Pupak
Pereira Virote. – RECIFE, 201696 p. : il. (algumas color.) ; 30 cm.
Orientador Vinicius Cardoso Garcia
Dissertação de Mestrado Profissional – Universidade Federal de Pernambuco, 2016.
1. Palavra-chave1. 2. Palavra-chave2. I. Orientador. II. Universidade xxx. III.
Faculdade de xxx. IV. Título
CDU 02:141:005.7

Mestrado Profissional apresentada por Alfredo Pupak Pereira Virote ao programa de PósGraduação em Ciência da Computação do Centro de Informática da Universidade Federal
de Pernambuco, sob o título Em Direção a Uma Proposta de Utilização da Computação
em Nuvem na Administração Pública Federal: Um Estudo de Caso no Instituto Federal
Goiano, orientada pelo Prof. Vinicius Cardoso Garcia e aprovada pela banca examinadora
formada pelos professores:

———————————————————————–
Prof. Vinicius Cardoso Garcia
Centro de Informática/UFPE
———————————————————————–
Prof. Hermano Perelli de Moura
Centro de Informática/UFPE
———————————————————————–
Prof. Júlio César Damasceno
Departamento de Ciência da Computação/UFRPE

RECIFE
2016

Dedico esse trabalho aos meus pais João e Shirley, com
todo meu amor e gratidão, por tudo que fizeram ao longo de
minha vida. Desejo poder ter sido merecedor do esforço
dedicado por vocês em todos os aspectos, especialmente
quanto à minha formação. Dedico também a minha esposa
Stephanny, meu filho João Victor e minha irmã Karla, pelo
amor, apoio, confiança e motivação incondicional que
sempre me impulsionou em direção às vitórias dos meus
desafios.

Agradecimentos
Gostaria de agradecer primeiramente a Deus que permitiu que tudo isso acontecesse, ao
longo de minha vida, e não somente nestes anos como aluno de pós-graduação, mas que em
todos os momentos é o maior mestre que alguém pode conhecer.
A toda minha familia, em especial minha mãe e pai Shirley e João que foram os principais
incentivadores dos meus estudos, minha esposa Stephanny que me incentivou nos momentos
mais difíceis dando total apoio moral, ao meu filho João Victor por compreender os momentos
ausentes, e a minha irmã Karla por me auxiliar quando pode.
Agradeço a todos os professores do Centro de Informática da Universidade Federal
de Pernambuco (CIN), por me proporcionarem o conhecimento não apenas racional, mas a
manifestação do caráter e afetividade da educação no processo de formação profissional.
Em especial ao meu orientador professor Doutor Vinicius Cardoso Garcia, pela oportunidade dada, pelas trocas de ideias, pela cobrança, por me ensinar a ter uma visão crítica dos
resultados, e pelos caminhos que foram indicados.
Aos meus amigos da turma de mestrado profissional de Goiás, Daniel, Ricardo e Winder,
por me darem todo apoio e incentivo necessário aos estudos das disciplinas cursadas, e ainda por
prestarem todo apoio moral na semana de estudos em Recife.
Ao Diretor de TI e Gerentes de TI do Instituto Federal Goiano, que foram de fundamental
importância para a realização deste trabalho.
Ao Instituto Federal Goiano por me conceder uma bolsa de mestrado, que foi essencial
para auxiliar nos gastos despendidos no estudo da pesquisa.
Finalmente, gostaria de agradecer a todos que contribuíram de alguma forma direta ou
indiretamente à realização de mais uma etapa na minha vida.
Obrigado a todos!

“O sucesso nasce do querer, da determinação e persistência em se chegar a
um objetivo. Mesmo não atingindo o alvo, quem busca e vence obstáculos,
no mínimo fará coisas admiráveis."
—JOSÉ DE ALENCAR

Resumo
Atualmente, a Administração Pública Federal (APF) passa por uma constante modernização na forma de prestar os serviços públicos à população em geral, e essa modernização
vem acompanhada de uma crescente demanda por recursos de Tecnologia da Informação (TI). O
Decreto no 8.539, de 8 de outubro de 2015, tem como principal objetivo promover a utilização de
meios eletrônicos para a realização dos processos administrativos com segurança, transparência
e economicidade, e também para facilitar o acesso do cidadão às instâncias administrativas.
Entretanto, o prazo para implantação do sistema de Processo Eletrônico Nacional (PEN) é de
apenas dois anos a partir da data do Decreto, e nem todos os órgãos da APF estão preparados
para disponibilizar a infraestrutura de TI adequada para implantar o sistema em tempo hábil.
Esta dissertação apresenta um método baseado na opinião de especialistas em TI com o objetivo
de identificar as principais dificuldades enfrentadas pelos Gestores de TI em relação a Gestão
de Infraestrutura de TI e na aquisição de novas de soluções de TI para atender ao sistema PEN.
Como solução para este problema será apresentada uma proposta contendo o Catálogo de Boas
Práticas a serem seguidos para adoção da Computação em Nuvem na APF. Na pesquisa foi
constatado que as principais dificuldades dos Gestores de TI estão relacionadas com o processo de contratação burocrático exigido pela Instrução Normativa no 4 de 2014 e com a lei no
8.666/93 de licitações e contratos. O Catálogo de Boas Práticas contém o passo-a-passo com as
orientações e recomendações a serem seguidas pelos Gestores de TI na contratação de serviços
de Computação em Nuvem na APF, abrangendo desde a parte de governança, segurança e
bilhetagem, até a forma de monitoramento e gerenciamento dos recursos computacionais em
nuvem.
Palavras-chave: Computação em Nuvem, Processo Eletrônico Nacional, Tecnologia da Informação, Administração Pública Federal.

Abstract
Currently, the Federal Public Administration (APF) goes through a constant modernization in order to provide public services to the population in general, and this modernization has
been accompanied by an increasing demand for resources of Information Technology (TI). The
Decree no 8.539, of October 8, 2015, aims to promote the use of electronic means to the realization of administrative processes with security, transparency and economy, and also to facilitate
the access of citizens to administrative instances. However, the deadline to the implantation of
the System of National Electronic Process (PEN) is only two years from the date of the Decree,
and not all organs of APF are prepared to provide the appropriate IT infrastructure to deploy the
system in a timely manner. This dissertation presents a method based on the opinion of IT experts
in order to identify the main difficulties faced by IT managers in relation to IT Infrastructure
Management and the acquisition of new IT solutions to meet the PEN system. As a solution
to this problem it is gonna be presented a proposal containing the Catalog of Best Practices to
be followed for the adoption of Cloud Computing in APF. In the research it was found that the
main difficulties of IT managers are related to the proccess of bureaucratic hiring required by
Normative Instruction no 4, 2014 and the Law no 8.666/93, of bids and contracts. The Catalog
of Best Practices contains the step-by-step with the orientations and recommendations to be
followed by IT managers in hiring services of Cloud Computing in APF, covering from the
part of Governance, Security and Ticketing until the form of monitoring and management
of Cloud Computing Resources.
Keywords: Cloud Computing, National Electronic Process, Information Technology, Federal
Public Administration.

Lista de Figuras
2.1
2.2
2.3
2.4
2.5

Processo de Contratação de Soluções de TI na APF . .
Visão Macro da Infraestrutura de TI necessária no IFB
Computação em Nuvem . . . . . . . . . . . . . . . .
Consumidores de Serviços em Nuvem . . . . . . . . .
Visão Geral da Computação em Nuvem . . . . . . . .

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

27
28
32
36
39

3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11

Área de formação dos participantes . . . . . . . . . . . . . . . . . . . . . .
Cargos dos profissionais . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tempo de serviço no cargo de Gestão em TI . . . . . . . . . . . . . . . . .
Aplicabilidade da Governança de TI . . . . . . . . . . . . . . . . . . . . .
Força de trabalho da equipe de TI . . . . . . . . . . . . . . . . . . . . . .
Impedimentos nas contratações de soluções de TI na APF . . . . . . . . . .
Tempo médio gasto para aquisição de Ativos de Rede na APF . . . . . . .
Tempo médio gasto para aquisição de licenças de software na APF . . . . .
Tempo médio gasto para o desenvolvimento de sistemas e aplicações de TI .
Percentual de utilização cargas de trabalho nos Datacenters . . . . . . . .
Controle sobre o Gerenciamento dos Datacenters . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

45
45
46
47
47
48
49
50
51
52
53

4.1
4.2
4.3

Relação entre Planejamento Estratégico e PDTI (Modificado pelo autor) . . . .
Orientações da aplicabilidade do Catálogo de Boas Práticas . . . . . . . . . .
Modelo de Ciclo de vida dos Dados - (Modificado pelo autor) . . . . . . . . .

58
61
65

Lista de Tabelas
1.1
1.2

Quadro Metodológico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Formação dos Gestores de TI . . . . . . . . . . . . . . . . . . . . . . . . . . .

20
22

3.1

Descrição dos Datacenters . . . . . . . . . . . . . . . . . . . . . . . . . . . .

51

4.1
4.2
4.3
4.4
4.5
4.6
4.7

Metas para adoção de Computação em Nuvem na APF . . . . .
Perfil de Acesso do Usuário aos dados armazenados em Nuvem
Porcentagem de crédito de serviço na fatura mensal . . . . . . .
Níveis de Severidade para chamados técnicos . . . . . . . . . .
Prazos para solução definitiva . . . . . . . . . . . . . . . . . . .
Definição de alertas e ações no gerenciamento de recursos . . .
Tabela Comparativa de Contratações de Computação em Nuvem

59
66
68
68
69
71
73

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

Lista de Acrônimos
APF

Administração Pública Federal

APIs

Application Programming Interface

CAFe

Comunidade Acadêmica Federada

CPU

Central Processing Unit

FINEP

Empresa Pública Financiadora de Estudos e Projetos

HTTP

Hypertext Transfer Protocol

IaaS

Infrastructure as a Service

IEC

International Electrotechnical Commission

IEEE

Institute of Electrical and Electronics Engineers

IFB

Instituto Federal de Brasilia

IF Goiano

Instituto Federal Goiano

ITGI

Information Technology Governance Institute

IPsec

IP Security Protocol

ISO

International Organization for Standardization

L2TP

Layer 2 Tunnelling Protocol

MIT

Massachusetts Institute of Technology

NIST

National Institute of Standards and Technology

PaaS

Platform as a Service

PEN

Processo Eletrônico Nacional

PDTI

Plano Diretor de Tecnologia da Informação

PGP

Pretty Good Privacy

PGR

Procuradoria Geral da República

RAM

Randon Access Memory

RESTful

Representational State Transfer

RDP

Remote Desktop Connection

RNP

Rede Nacional de Ensino e Pesquisa

SaaS

Software as a Service

SAML

Security Assertion Markup Language

SISP

Sistema de Administração dos Recursos de Tecnologia da Informação

SLA

Service Level Agreement

SLO

Service Level Objective

SSH

Secure Shell Protocol

SQL

Structured Query Language

TCP/IP

Transmission Control Protocol/Internet Protocol

TCU

Tribunal de Contas da União

TI

Tecnologia da Informação

USP

Universidade de São Paulo

VLANs

Virtual Lans

VPN

Virtual Private Network

VMs

Virtual Machines

WAF

Web Application Firewall

Sumário
1

2

INTRODUÇÃO
1.1 Motivação . . . . . . . . . . . . . . . . . . . . . . .
1.2 Apresentação do Problema . . . . . . . . . . . . . .
1.3 Objetivos . . . . . . . . . . . . . . . . . . . . . . .
1.3.1 Geral . . . . . . . . . . . . . . . . . . . . .
1.3.2 Específicos . . . . . . . . . . . . . . . . . .
1.4 Metodologia de Pesquisa . . . . . . . . . . . . . . .
1.5 Classificação Geral da Pesquisa . . . . . . . . . . . .
1.5.1 Opinião de Gestores em TI . . . . . . . . . .
1.6 Técnicas e Ferramentas utilizadas na coleta dos dados
1.7 Estrutura da Dissertação . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

REFERENCIAL TEÓRICO
2.1 Contratações de Soluções de TI na APF . . . . . . . . . . . . . . . . . . . . .
2.2 Levantamento de Requisitos para o Sistema PEN no Instituto Federal de Brasília
2.3 Histórico da Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . . .
2.4 Definição para Computação em Nuvem . . . . . . . . . . . . . . . . . . . . .
2.5 Características Essenciais da Computação em Nuvem . . . . . . . . . . . . . .
2.5.1 Serviço sob demanda . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5.2 Elasticidade rápida . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5.3 Amplo acesso a rede . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5.4 Serviços confiáveis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.5.5 Serviços Medidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.6 Modelos de Serviço para Computação em Nuvem . . . . . . . . . . . . . . . .
2.6.1 Infraestrutura como Serviço - IaaS . . . . . . . . . . . . . . . . . . . .
2.6.2 Plataforma como Serviço - PaaS . . . . . . . . . . . . . . . . . . . . .
2.6.3 Software como Serviço - SaaS . . . . . . . . . . . . . . . . . . . . . .
2.7 Modelos de Implantação para Computação em Nuvem . . . . . . . . . . . . .
2.7.1 Nuvem Privada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.7.2 Nuvem Pública . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.7.3 Nuvem Comunitária . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.7.4 Nuvem Híbrida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.8 Stakeholders na Computação em Nuvem . . . . . . . . . . . . . . . . . . . . .
2.8.1 Cloud Consumer . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.8.2 Cloud Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15
16
18
19
19
19
19
20
22
23
24
26
26
28
29
30
32
32
32
32
33
33
33
34
34
35
37
37
38
38
38
40
40
40

14

2.9
3

2.8.3 Cloud Auditor
2.8.4 Cloud Broker .
2.8.5 Cloud Carrier
Resumo do Capítulo .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

ANÁLISE E INTERPRETAÇÃO DOS RESULTADOS
3.0.1 Caracterização do Instituto Federal Goiano . . . . . . . . . . .
3.0.2 Perfil dos Participantes Envolvidos na Pesquisa . . . . . . . . .
3.0.3 Aplicabilidade da Governança de TI . . . . . . . . . . . . . . .
3.0.4 Projetos de Aquisição de Ativos de Rede e Licenças de Software
3.0.5 Utilização da Infraestrutura de Datacenter no IFGOIANO . . .
3.0.6 Discussão dos Resultados . . . . . . . . . . . . . . . . . . . .
3.1 Resumo do Capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . .

.
.
.
.

.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.

.
.
.
.

41
41
41
42

.
.
.
.
.
.
.

43
44
44
46
48
51
53
55

4

CATÁLOGO DE BOAS PRÁTICAS PARA CONTRATAÇÕES DE COMPUTAÇÃO
EM NUVEM NA APF
56
4.1 Contratação de Serviços de Redes de Telecomunicações na APF . . . . . . . . 56
4.2 Metas para Adoção de Computação em Nuvem na APF . . . . . . . . . . . . . 58
4.3 Boas Práticas de Governança e Segurança da Informação para contratação de
serviços de Computação em Nuvem na APF . . . . . . . . . . . . . . . . . . . 62
4.3.1 Boas Práticas para os Contratos de Níveis de Acordo de Serviço - SLAs
em Provedores de Nuvem . . . . . . . . . . . . . . . . . . . . . . . . 66
4.3.2 Boas Práticas para o Cálculo da Bilhetagem Básica na Tarifação da
Computação em Nuvem . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.3.3 Boas Práticas para o Gerenciamento e Monitoramento dos Recursos
Computacionais na Computação em Nuvem . . . . . . . . . . . . . . . 70
4.4 Análise Comparativa do Catálogo de Boas Práticas com Contratações de Computação em Nuvem em Órgãos Públicos . . . . . . . . . . . . . . . . . . . . . 72
4.5 Resumo do Capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

5

CONSIDERAÇÕES FINAIS
5.1 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Limitações da Pesquisa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

83
83
85
85

Referências

87

Apêndice

92

A Questionário Aplicado aos Gestores de TI

93

15

1
INTRODUÇÃO
A Administração Pública Federal (APF) é a responsável por prestar diversos tipos de
serviços públicos à população em geral nas áreas de segurança, saúde, educação, cultura, dentre
outras. A principal ferramenta que é utilizada para prestação desses serviços é a Tecnologia da
Informação (TI), que pode ser oferecida ao usuário na forma de sistemas ou aplicações. Essa
prestação de serviços públicos utilizando a TI é uma tendência global e a confiança da população
só vai ser adquirida se esses serviços forem prestados com eficiência e qualidade (YEH et al.,
2010).
Esses sistemas além de confiáveis, tem que agregar valores como facilidade de manutenção,
redução de custos com infraestrutura de TI, aumento de recursos como armazenamento, processamento e redes, além de disponibilizar um maior nível de automação e facilidade de gerenciamento
(WYLD, 2009). A Computação em Nuvem surge como um novo modelo de computação e pode
desempenhar essas funções fornecendo esses serviços aos usuários sob demanda e em tempo
real (TRIPATHI; PARIHAR, 2011).
A crescente demanda por recursos tecnológicos no Governo Federal mudou a forma
de prestação de serviços à sociedade e essa foi uma das principais causas para acontecer uma
mudança de paradigma, onde surge uma nova forma de administrar, com a automação de
rotinas administrativas e com a construção de processos organizacionais que são gerenciados
principalmente por algum tipo de serviço ou aplicação de TI.
O Decreto n° 8.539, de 8 de outubro de 2015, trouxe a necessidade da mudança de
paradigma no que diz respeito aos processos administrativos nos órgãos da APF, os quais se
encontram intimamente ligados à “cultura do papel” e aos procedimentos analógicos pertinentes a
esta. Este decreto tem o prazo para implementação de até dois anos e tem como principal objetivo
promover a utilização de meios eletrônicos para a realização dos processos administrativos com
segurança, transparência e economicidade, e também para facilitar o acesso do cidadão às
instâncias administrativas.
Diante desta realidade se percebeu o desafio dos órgãos da APF em atender de forma
ágil e eficiente a implantação em âmbito nacional do sistema de Processo Eletrônico Nacional

1.1. MOTIVAÇÃO

16

(PEN). De acordo com o Ministério do Planejamento1 o sistema PEN:
"É uma iniciativa conjunta de órgãos e entidades de diversas esferas da administração pública, com o intuito de construir uma infraestrutura pública de
processos e documentos administrativos eletrônicos, objetivando a melhoria
no desempenho dos processos do setor público, com ganhos em agilidade,
produtividade, transparência, satisfação do usuário e redução de custos.
O PEN introduz práticas inovadoras no setor público – elimina o uso de
papel como suporte físico para documentos institucionais e disponibiliza
informações em tempo real."
Sabe-se que o método tradicional para as aquisições de soluções de TI são reguladas
principalmente pela Instrução Normativa no 42 , de 11 de setembro de 2014, que dispõe sobre o
processo de contratação de soluções de TI pelos órgãos integrantes do Sistema de Administração
dos Recursos de Informação e Informática - SISP do Poder Executivo Federal, e pela lei no
8.6663 , de 21 de junho de 1993, que institui as normas para licitações e contratos da APF. Essas
leis e instruções normativas impostas pela legislação acabam por burocratizar as etapas de um
processo de licitação podendo levar vários meses e, às vezes, podendo chegar a levar anos para
sua concretização.
Neste sentido, esta dissertação vai abordar um estudo de caso aplicado no Instituto
Federal Goiano (IF Goiano) com o objetivo de investigar as principais dificuldades enfrentadas
pelos Gestores de Tecnologia da Informação em questões que envolvam a aquisição de soluções
de TI, como ativos de rede e licenças de software, além do monitoramento do uso dos recursos
computacionais existentes para o atendimento ao Decreto n° 8.539, de 8 de outubro de 2015.
Como solução para este tipo de problema será apresentada uma proposta contendo
o Catálogo de Boas Práticas para a adoção da Computação em Nuvem na APF. A pesquisa
foi conduzida por um estudo exploratório sobre o assunto de Computação em Nuvem com
a realização de surveys de natureza qualitativa, utilizando o método baseado na opinião de
especialistas em TI que atuam no IF Goiano.

1.1

Motivação

Apesar da Computação em Nuvem ser amplamente divulgada e utilizada pela maioria
das organizações ao redor do mundo, a utilização deste modelo de computação ainda enfrenta
resistência por parte da alta direção na maioria dos órgãos que compõem a APF. O acórdão
no 1.739 de 2015 do Tribunal de Contas da União4 (TCU) disponibiliza os critérios para a
1 http://www.planejamento.gov.br/pensei
2 http://www.governoeletronico.gov.br/eixos-de-atuacao/governo/sistema-de-administracao-dos-recursos-

de-tecnologia-da-informacao-sisp/ncti-nucleo-de-contratacoes-de-tecnologia-da-informacao/in-4-instrucaonormativa-mp-slti-no-4-2014
3 http://www.planalto.gov.br/ccivil_03/leis/L8666cons.htm
4 http://portal.tcu.gov.br

1.1. MOTIVAÇÃO

17

elaboração de procedimentos para a contratação de serviços de TI sob o modelo de Computação
em Nuvem e, neste mesmo documento, na seção de Introdução, no item 3, diz que:
"Os benefícios oferecidos por esse novo modelo permitem o foco nas
funções essenciais da organização. Além dos benefícios esperados pela
terceirização em geral, o modelo traz benefícios específicos como: maior
disponibilidade, flexibilidade da oferta do serviço em função de variações
na demanda, menor dependência de pessoal qualificado, possível redução
de vários riscos de segurança, pagamento por uso efetivo de recursos e
potencial redução de custos."
O Ministério do Planejamento, Orçamento e Gestão juntamente com a Secretaria de
Tecnologia da Informação divulgou por meio do site do Governo Eletrônico5 um manual de boas
práticas, orientações e vedações para contratação de serviços de Computação em Nuvem na APF.
Neste documento são destacados os benefícios que a Computação em Nuvem pode trazer para as
empresas e órgãos do Governo Federal como, por exemplo: redução de custos, elasticidade,
redução da ociosidade dos recursos, agilidade na implantação de novos serviços, foco nas
atividades finalísticas do negócio e uso mais inteligente da equipe de TI.
A APF está em constante modernização com a prestação de serviços de forma online em
todos os estados do Brasil. Essa modernização é caracterizada por uma crescente demanda na
utilização de recursos de TI e também pelo aumento da oferta dos serviços eletrônicos que são
disponibilizados por meio de sistemas e aplicações de TI. Diante desta realidade a APF pode
apresentar problemas para incrementar e/ou atualizar as suas infraestruturas de TI já existentes,
com o objetivo de atender as demandas mais urgentes, se fazendo necessário mais investimentos
em novas soluções de TI. Ressalta-se que nesse contexto a Computação em Nuvem pode vir
a ser uma excelente alternativa, especialmente no que diz respeito a redução de custos com
computadores e ativos de rede (ERCAN, 2010).
Em meio a toda esta modernização surge o sistema de Processo Eletrônico Nacional
(PEN), que é uma solução de processo eletrônico com o objetivo de ser utilizado em qualquer
órgão ou instituição pública, sendo ela municipal, estadual ou federal, independentemente do
porte e da área de atuação específica. O grande desafio da implantação deste sistema em âmbito
nacional é justamente conseguir uma infraestrutura de TI que suporte as demandas das aplicações
advindas do sistema em um curto prazo, de apenas dois anos contados a partir da data do Decreto
n° 8.539, de 8 de outubro de 2015.
Diante deste cenário promissor que a Computação em Nuvem pode trazer a APF, faz-se
necessário a formulação de uma proposta contendo o Catálogo de Boas Práticas para a adoção
da Computação em Nuvem na APF para atender ao sistema PEN, pois até o presente momento
não existe nenhuma proposta efetiva que sirva de referência ou ainda que oriente a forma de
contratação de serviços de Computação em Nuvem para empresas e órgãos da APF.
5 http://governoeletronico.gov.br/sisp-conteudo/nucleo-de-contratacoes-de-ti/orientacoes-de-ti

1.2. APRESENTAÇÃO DO PROBLEMA

1.2

18

Apresentação do Problema

O principal objetivo da APF é prestar os serviços públicos com eficiência e qualidade.
Mas em se tratando de serviços que envolvam sistemas e aplicações de TI podem surgir vários
problemas que afetam diretamente na qualidade desses serviços. De acordo com RASTOGI
(2010), as principais causas podem ser: 

A necessidade de aumentar a capacidade de armazenamento, processamento e recursos de rede. 

Disponibilidade e preservação da integridade dos dados. 

Gastos elevados com a compra de ativos de rede e licenças de software. 

Segurança física de Datacenters.

Segundo KUNDRA (2011) os órgãos públicos federais são caracterizados por possuírem
demandas fragmentadas, sistemas duplicados, com recursos de TI sub-utilizados e também
por apresentarem ambientes de difícil gerenciamento. Estas ineficiências podem impactar
negativamente na capacidade do governo em servir o público em geral.
Outra preocupação é com os desafios técnicos enfrentados pelo governo. Existem
vários sistemas legados que exigem uma grande bagagem de conhecimento técnico por parte
dos profissionais envolvidos (TRIPATHI; PARIHAR, 2011). O problema é que a manutenção
desses sistemas podem se tornar insustentáveis ou até mesmo inviáveis devido ao alto grau de
complexidade exigido para mantê-los em funcionamento.
Já para CANABARRO; CEPIK (2010) o desafio de aprimorar os usos das Tecnologias da
Informação no Poder Executivo Brasileiro envolvem questões que vão muito além da tecnologia.
Esse processo de aprimoramento tem que estar adequado às necessidades e aspirações da
Administração Pública, além de entregar com eficiência e qualidade todas as prestações de
serviços a sociedade em geral.
Devido a necessidade de atendimento ao Decreto n° 8.539, de 8 de outubro de 2015, que
dispõe sobre o uso de um meio eletrônico para implantar o sistema do PEN6 , fica bem evidente
a necessidade de se disponibilizar uma infraestrutura de TI adequada e que suporte as cargas
de trabalho de processamento e armazenamento que serão exigidos pelo sistema aos diversos
órgãos da APF. Entretanto a maioria dos órgãos não possuem a infraestrutura de TI ideal ou
minimamente necessária para a implementação imediata do sistema.
Diante deste problema que surgiu de forma iminente, com o prazo máximo de dois anos
para ser cumprido, faz-se necessário um estudo para verificar quais são as principais dificuldades
que os Gestores de TI da APF enfrentam para disponibilizar novas soluções de TI para o
atendimento de demandas mais urgentes, e a partir deste estudo, propor um Catálogo de Boas
6 https://processoeletronico.gov.br/

1.3. OBJETIVOS

19

Práticas contendo as diretrizes a serem seguidas nas contratações de serviços de Computação
em Nuvem para a APF, com o objetivo de disponibilizar os recursos computacionais necessários
para a implantação do PEN de uma forma mais rápida e eficiente.
Mediante os critérios evidenciados nesta seção, a realização desta pesquisa foi motivada
principalmente pelo seguinte questionamento: Quais são as boas práticas a serem adotadas
pela APF nas contratações de serviços de Computação em Nuvem?

1.3
1.3.1

Objetivos
Geral

Elaborar um catálogo de boas práticas para contratações de serviços de Computação em
Nuvem contendo o passo a passo das diretrizes a serem seguidas nos diversos órgãos da APF.

1.3.2

Específicos     

1.4

Verificar o atual cenário das contratações de Soluções de TI para a implantação do
sistema PEN na APF;
Especificar as melhores práticas relacionadas a Governança de TI e Segurança da
Informação nas contratações de Computação em Nuvem;
Especificar quais são o critérios a serem aplicados nos contratos de níveis de acordo
de serviço (SLAs) em serviços de Computação em Nuvem;
Definir um método de pagamento que contemple uma equação de bilhetagem básica
dos recursos computacionais consumidos em nuvem;
Especificar as melhores práticas para o gerenciamento e monitoramento dos recursos
computacionais contratados em provedores de Computação em Nuvem;

Metodologia de Pesquisa

Esta pesquisa tem como principal objetivo encontrar as dificuldades enfrentadas pelos
Gestores de TI da APF em questões relacionadas a aplicabilidade da Governança de TI, aquisições
de novas soluções de TI, como ativos de rede e licenças de software, além do gerenciamento e
monitoramento de infraestrutura de Datacenter. Para conseguir extrair o máximo de informações
possível sobre o assunto foi realizada a escolha com o consentimento do orientador de um
método que é baseado na opinião de pessoas que são Gestores em TI e que atuam a pelo menos
dois anos em um cargo estratégico, como o de direção ou gerência de TI.

1.5. CLASSIFICAÇÃO GERAL DA PESQUISA

20

O estudo conta ainda com um estudo exploratório na literatura sobre a aplicabilidade
e desafios encontrados na implantação de soluções de Computação em Nuvem em órgãos
públicos federais ao redor do mundo. O método de procedimento da pesquisa aborda um estudo
de caso aplicado em uma instituição federal de ensino, conhecida como Instituto Federal de
Educação, Ciência e Tecnologia Goiano (IF Goiano) e essa escolha foi feita justamente por ser
uma autarquia federal e se enquadrar perfeitamente no objeto de interesse da pesquisa.
Para a coleta e análise dos dados e resultados foram utilizadas técnicas e ferramentas
adotadas no campo de estudo de ciência da computação. Para esclarecer de forma mais detalhada
os métodos utilizados neste capítulo será realizada uma subdivisão em três seções: Classificação
Geral da Pesquisa, Técnicas e Ferramentas utilizadas na coleta dos dados e, por último a
apresentação dos dados com a análise e discussão dos resultados.

1.5

Classificação Geral da Pesquisa

A pesquisa que foi realizada para a elaboração dessa dissertação pode ser classificada
perante cinco aspectos principais : quanto ao método, quanto ao objetivo, natureza dos dados,
método de procedimento e método de abordagem. Por meio da Tabela 1.1 é possível ver o quadro
metodológico de uma forma resumida.
Quadro Metodológico
Quanto ao Método
Indutivo
Quanto ao Objetivo
Pesquisa Exploratória
Natureza dos Dados
Qualitativa
Método de Procedimento
Estudo de Caso
Método de Abordagem Opinião de Gestores em TI
Table 1.1: Quadro Metodológico

A escolha do método indutivo para escrita dessa dissertação se deu em função da
caracterização da pesquisa, onde as conclusões são constatadas a partir de deduções de uma
verdade geral ou universal, baseadas em estudos ou acontecimentos observados sobre os casos
seguindo uma linha de raciocínio fundamentada em argumentos (LAKATOS; MARCONI, 2007).
Ainda segundo LAKATOS; MARCONI (2007) o método indutivo é realizado em três
etapas: 1) Observação dos fenômenos: aqui serão observados os acontecimentos ou fenômenos
com uma constatação das possíveis causas; 2) Descoberta da relação entre eles: será realizada
uma comparação para aproximar os fatos ou fenômenos e descobrir a relação entre eles; e 3)
generalização da relação - é generalizada a relação entre os fenômenos e fatos semelhantes.
No que diz respeito ao objetivo, a pesquisa é classificada como exploratória, onde é
permitida ao pesquisador aumentar sua experiência em razão de um determinado problema
específico. Neste caso serão estudadas as principais características e vantagens que o modelo
de Computação em Nuvem pode oferecer em relação ao modelo tradicional de computação

1.5. CLASSIFICAÇÃO GERAL DA PESQUISA

21

para a APF. A partir do problema definido o investigador parte de uma hipótese e aprofunda
seus estudos, buscando maiores conhecimentos para, então planejar e delimitar o escopo de sua
pesquisa (TRIVIÑOS, 1987).
Com o intuito de realizar uma pesquisa mais detalhada e aprofundada na literatura de
Computação em Nuvem, o método de pesquisa exploratório tem o objetivo de identificar os
modelos e mecanismos de propostas de utilização de ambientes de Computação em Nuvem na
APF (WYLD, 2009). Os estudos que foram utilizados para a busca de artigos científicos foi
realizada nas seguintes fontes de pesquisa: IEEEXplore Digital Library7 , ACM Digital Library8 ,
Scopus9 , Science Direct10 , Google Schoolar11 . Já a estratégia de busca com as palavras-chave
seguiu a seguinte lógica:

Cloud [AND]

Migration <OR> Evolution <OR> Adoption <OR> Transformation <OR> Modernization
<OR> Integration <OR> Adoption <OR> Moving
[AND]
Government <OR> E-Government <OR> Governance <OR> E-Governance <OR> Systematic
Literature Review <OR> Literature Review <OR> SLR <OR> Literature Survey <OR>
Research Review
O estudo exploratório da literatura auxiliou no entendimento de uma forma clara e
objetiva quais são as principais características e aplicações envolvendo a Computação em Nuvem
(Cloud Computing), como suas características essenciais, modelos de serviço, modelos de
implantação, entre outros. Esse estudo também auxiliou na elaboração da fundamentação da
proposta de pesquisa, mapeando os trabalhos relacionados e fornecendo os subsídios necessários
para construir o referencial teórico, além de ser fundamental para a elaboração da proposta que
contém o Catálogo de Boas Práticas a serem seguidos na adoção de práticas de Computação
em Nuvem na APF.
Em relação a natureza dos dados e das análises adotadas, a pesquisa caracteriza-se como
qualitativa, pois a preocupação maior não é com a quantificação e técnicas da amostragem, mas
sim com uma série de condições importantes para o esclarecimento do assunto do ponto de vista
do investigador. Esse método preocupa-se em analisar de uma forma mais detalhada os hábitos,
tendências, atitudes e comportamentos humanos (TRIVIÑOS, 1987; LAKATOS; MARCONI,
2007). Vale ressaltar que também é possível perceber pequenos traços quantitativos, uma vez
7 http://ieeexplore.ieee.org/Xplore/home.jsp
8 http://dl.acm.org/
9 http://scopus.com
10 http://sciencedirect.com
11 https://scholar.google.com.br/

1.5. CLASSIFICAÇÃO GERAL DA PESQUISA

22

que foram utilizadas ferramentas de coleta de dados em computação para representar os dados
da pesquisa.
É importante salientar que essa pesquisa é caracterizada por um estudo de caso realizado
no IF Goiano. O estudo de caso tem o objetivo de fornecer um conhecimento mais aprofundado
de uma realidade delimitada de um determinado caso sob todos os seus aspectos (LAKATOS;
MARCONI, 2007). Os resultados atingidos por uma pesquisa em um estudo de caso pode
permitir e formular hipóteses para o encaminhamento de outras pesquisas (TRIVIÑOS, 1987).

1.5.1

Opinião de Gestores em TI

A abordagem utilizada para coletar os dados qualitativos é realizada através de um
questionário survey, e utiliza o método baseado na opinião de Gestores em TI (COOKE, 1991;
LI; SMIDTS, 2003; CONBOY; FITZGERALD, 2010; JONGSAWAT; PREMCHAISWADI,
2010; WU; LIU; JIN, 2010) que atuam no IF Goiano. Este survey vai extrair as informações
que serão utilizadas para entender a atual situação enfrentada pelos Gestores de TI no que diz
respeito ao planejamento e gestão da capacidade de recursos de TI, nível de governança, além do
percentual de cargas de trabalho em seus respectivos Datacenters.
Segundo COOKE (1991), a opinião de um especialista em uma determinada área pode
ser definida como uma série de esforços científicos que são utilizados para interpretar os dados,
prever o comportamento de um sistema, e avaliar incertezas. A utilização deste método com a
opinião de especialistas se justifica pelos profissionais que estão envolvidos nesta pesquisa, pois
todos esses especialistas atuam diretamente em algum cargo estratégico de Gestão de TI na APF.
Para uma melhor visualização a Tabela 1.2 demonstra a área de formação, e o cargo ocupado por
cada um destes Gestores de TI do IF Goiano.
Gestor de TI
Participante A
Participante B
Participante C
Participante D
Participante E
Participante F

Área de Formação
Engenharia da Computação
Sistemas da Informação
Sistemas da Informação
Processamento de Dados
Processamento de Dados
Processamento de Dados

Cargo Ocupado
Diretor de TI
Diretor de TI
Coordenador de TI
Gerente de TI
Gerente de TI
Gerente de TI

Table 1.2: Formação dos Gestores de TI

O processo de aplicação do método da opinião de Gestores em TI foi inspirado no
trabalho de LI; SMIDTS (2003), e é composto pelos seguintes passos:
1. Declaração do Problema: O problema e a visão geral tem que ser claramente
definidos e sistematizados;
2. Seleção dos Especialistas: Onde o número de especialistas tem que ser baseados
em critérios como capacidade de conhecimento, confiabilidade e perícia;

1.6. TÉCNICAS E FERRAMENTAS UTILIZADAS NA COLETA DOS DADOS

23

3. Elicitação das Opiniões: Nesta etapa são organizadas as perguntas certas para
garantir o sucesso na condução do processo de elicitação;
4. Agregação das Opiniões: A ideia é chegar a um consenso ou opinião geral com
base ne qual decisão será tomada;
5. Tomada de Decisão: Este passo estabelece a decisão de acordo com o parecer do
consenso das opiniões.
A disciplina na execução de cada um desses passos de forma rigorosa e sistemática é
a chave para o sucesso deste trabalho, pois esse método aplica-se a pessoas que estão atuando
diretamente com a área de gestão de TI na APF, e os resultados obtidos são aplicados na dia a
dia desses profissionais que atuam em uma área estratégica do Governo Federal que é a TI.
Ressalta-se ainda que esta pesquisa é conduzida por um estudo empírico (WAZLAWICK,
2009) realizado no IF Goiano, onde os fenômenos qualitativos foram estudados e analisados com
as opiniões fornecidas por especialistas em TI que atuam na APF. A melhor forma de avaliar
esses resultados é utilizando a metodologia proposta por KITCHENHAM et al. (2007). Nesse
método o pesquisador necessita ser rigoroso, sistemático e capaz, para localizar, avaliar, agregar
e tomar decisões com os resultados de uma pesquisa relacionada a um determinado assunto a
fim de proporcionar um resumo objetivo das provas relevantes.

1.6

Técnicas e Ferramentas utilizadas na coleta dos dados

Com o objetivo de encontrar os desafios enfrentados pelos Gestores de TI nas suas
atribuições relacionadas a parte de governança de TI, projetos de aquisição de ativos de rede
e licenças de software e gerenciamento da infraestrutura de TI na APF, foram utilizadas uma
técnica e três ferramentas para a coleta dos dados.
A técnica que mais se adequou para a realidade deste trabalho foi o questionário. Segundo
LAKATOS; MARCONI (2009) o questionário é um instrumento utilizado para a coleta de dados
constituído por uma série de perguntas ordenadas e bem estruturadas com o objetivo de atingir
um maior número de pessoas com as respostas mais rápidas e mais precisas.
De acordo com WAZLAWICK (2009), as pesquisas cientificas no campo da ciência da
computação consistem na formulação de hipóteses e coleta de evidências para se ter a certeza
da validade destas hipóteses. Uma forma de coletar estas opiniões ou argumentações é com
a construção de questionários. Através deles são coletadas as evidências necessárias para a
validação de uma hipótese.
A ferramenta utilizada para elaborar o questionário aplicado aos Gestores de TI foi a
LimeSurvey12 . Esta é uma ferramenta de software livre sob os termos da General Public License
(GPL) versão 2, utilizada para criar pesquisas online de uma forma bem rápida e intuitiva. Ela
12 https://www.limesurvey.org/

1.7. ESTRUTURA DA DISSERTAÇÃO

24

foi instalada em um servidor com sistema operacional Linux13 , com o servidor WEB Apache
2.0, linguagem PHP 5 e banco de dados MySQL14 .
Paralelamente a coleta dos dados através do questionário foi realizado um levantamento
da infraestrutura de Datacenter em cada um dos cinco Campus e Reitoria do IF Goiano. Esse
levantamento serviu para verificar a real situação em relação a posse de ativos de rede, como
Servidores e Storages, disponíveis em cada um dos 5 Campus e Reitoria do IF Goiano. Além
do levantamento dos ativos de rede foi realizado uma análise do percentual de utilização (cargas
de trabalho) desses Datacenters. Para a realização deste levantamento foram utilizadas duas
ferramentas.
Primeiramente foi utilizada a ferramenta OCS Inventory NG15 para fazer o levantamento
do inventário de TI com todas as informações sobre as características técnicas de hardware,
como memória, processamento, armazenamento, rede e modelo do fabricante, disponíveis
nos servidores e storages hospedados nos Datacenters desses Campus. Essa ferramenta é de
software livre sob a licença GPL e foi instalada em um servidor Linux que serviu para fazer a
coleta e armazenamento das informações disponíveis no Datacenter. Essas informações foram
enviadas através da instalação de agentes do OCS Inventory NG nos equipamentos que são os
alvos desta pesquisa.
Posteriormente foi utilizada a ferramenta Zabbix16 para fazer o levantamento de métricas
relacionadas ao uso de processamento, armazenamento e cargas de trabalho de utilização
destes servidores. O Zabbix é uma poderosa ferramenta de software livre que serve para o monitoramento de redes, servidores e aplicações, utilizada para o acompanhamento do desempenho
da performance dos ativos de redes e aplicações hospedados em uma infraestrutura de TI. O
seu funcionamento é baseado na instalação dos agentes zabbix nos equipamentos que serão
monitorados e as informações são enviadas a um servidor com a aplicação Zabbix instalada.
Os dados coletados por estas três ferramentas de software livre utilizadas no levantamento
e monitoramento da infraestrutura de Datacenter dos Campus e Reitoria são de fundamental
importância para a seção de análise e discussão dos resultados, pois estes dados serviram de base
para saber a atual realidade que os Gestores de TI enfrentam em seus locais de trabalho.

1.7

Estrutura da Dissertação

No Capítulo 1 foi realizada a introdução com os fatos motivadores, evidenciando a
relevância e a importância para a produção deste trabalho de pesquisa, apresentando o problema
e a proposta que servirá como solução. Em seguida foi apresentada toda a metodologia de
pesquisa aplicada na coleta dos dados e informações. Neste sentido os próximos capítulos serão
divididos da seguinte maneira:
13 https://www.ibm.com/developerworks/br/library/l-linuxuniversal/
14 https://www.mysql.com/
15 http://ocsinventory-ng.org/en/
16 http://www.zabbix.com/

1.7. ESTRUTURA DA DISSERTAÇÃO

25

No Capítulo 2 é apresentado o cenário atual de contratações de Soluções de TI na APF,
demonstrando na prática um caso de levantamento de requisitos em um órgão da APF. Logo
após são apresentados os fundamentos teóricos sobre a Computação em Nuvem, tais como
suas características essenciais, modelos de serviço, modelos de implantação e os stakeholders
envolvidos no processo da arquitetura em nuvem. Essa fundamentação teórica servirá de
referência para os próximos capítulos da dissertação.
No Capítulo 3 é apresentada a análise e discussão dos resultados da pesquisa, com a
demonstração dos dados que foram coletados para, então, fazer uma avaliação parcial de cada
caso e, posteriormente, essas avaliações serão sintetizadas na discussão dos resultados.
No Capítulo 4 é apresentada a proposta contendo o Catálogo de Boas Práticas a serem
seguidas para a adoção da Computação em Nuvem na APF, com o objetivo de prover uma
infraestrutura de TI adequada para implantar o sistema PEN no Governo Federal.
No Capítulo 5 são apresentadas as considerações finais, com as conclusões obtidas,
contemplando também as possíveis limitações e trabalhos futuros a serem realizados.

26

2
REFERENCIAL TEÓRICO
Este capítulo tem o objetivo de apresentar o atual cenário das contratações de soluções
de TI na APF e, em especial para atender a implantação do sistema PEN em âmbito nacional.
Neste sentido, também será apresentado um projeto contendo o levantamento de requisitos para
a implantação do sistema PEN no Instituto Federal de Brasília (IFB).
Além deste cenário, será apresentado a visão geral sobre a Computação em Nuvem,
abordando o seu surgimento, principais definições e características. Além destas características
também serão descritos os modelos de serviços e modelos de implantação encontrados na
arquitetura de Computação em Nuvem. Após o detalhamento dos modelos, serão relacionados
os papéis dos principais stakeholders envolvidos nesse processo. Neste sentido, será utilizado o
estado da arte para o seu desenvolvimento.

2.1

Contratações de Soluções de TI na APF

Atualmente, todo o processo de contratação de soluções de TI tem que se adequar aos
trâmites administrativos descritos na Instrução Normativa no 4, de 11 de setembro de 2014. É
por meio desta Instrução Normativa que são elaborados todos os artefatos que fazem parte do
projeto final onde será realizada a licitação das soluções de TI como, ativos de redes, licenças de
softwares, sistemas, aplicativos, dentre outros. O site do governo eletrônico1 disponibiliza todo
o processo a ser concretizado nestas contratações. A Figura 2.1 aborda todas as etapas a serem
seguidas na Instrução Normativa no 4 de 2014.
As fases para o planejamento da contratação podem ser definidas da seguinte maneira:  

Documento de Oficialização da Demanda (DOD): Neste documento é gerada todas
as demandas por soluções de TI que são requisitadas por todos os departamentos de
um órgão público federal.
Instituição da equipe de planejamento da contratação: Nesta fase são escolhidos
os integrantes que vão fazer parte da equipe de planejamento, que é composto por:

1 http://mcti.governoeletronico.gov.br/PCTI.htm

2.1. CONTRATAÇÕES DE SOLUÇÕES DE TI NA APF

27

Figura 2.1: Processo de Contratação de Soluções de TI na APF
Fonte: Governo Eletrônico

1) Integrante Administrativo que é indicado pelo responsável da área administrativa;
2) Integrante Técnico que é indicado pelo responsável da área de TI; 3) Integrante
Requisitante que é indicado pelo responsável da área requisitante.   

Estudo Técnico Preliminar: O objetivo desta fase é fazer uma análise de mercado
bem detalhada sobre a viabilidade técnica e econômica do processo de contratação.
Análise de Riscos: Esta fase tem o objetivo de garantir a continuidade do negócio
nos casos em que ocorrer algum tipo de problema, como uma eventual interrupção
contratual.
Termo de Referência ou Projeto Básico: Nesta fase é feita a descrição detalhada
de toda a solução de TI com a devida justificativa da contratação. No projeto também
são definidas as responsabilidades mínimas dos principais participantes de uma
contratação que consistem no termo de referência.

Depois de finalizado todo o processo de contratação, o próximo passo é a realização
da licitação de todos os itens detalhados no termo de referência ou projeto básico. A lei que
normatiza as formas de licitações e contratos na APF é a lei no 8.6662 , de 21 de 1993, sendo
que a modalidade mais utilizada para aquisição de soluções de TI é conhecida como pregão
eletrônico, onde são adquiridos bens e serviços comuns no âmbito da União, com padrões de
desempenho e qualidade definidos por edital.
A licitação é a etapa mais criteriosa e também necessária na contratação de soluções de
TI, pois é na licitação que as empresas partícipes podem vir a impugnar um ou vários itens do
2 https://www.planalto.gov.br/ccivil_03/Leis/L8666cons.htm

2.2. LEVANTAMENTO DE REQUISITOS PARA O SISTEMA PEN NO INSTITUTO
FEDERAL DE BRASÍLIA
28
projeto básico, com a justificativa de que o detalhamento técnico de um determinado item está
favorecendo a uma empresa em específico e, nesse caso todo o processo volta para a fase do
termo de referência para uma nova análise da equipe de TI responsável.
De acordo com as opiniões fornecidas pelos Gestores de TI todo esse processo de
contratação de soluções de TI que se inicia com o documento de oficialização da demanda,
passando pelas fases da Instrução Normativa no 4 de 2014, até a finalização da licitação utilizando
a modalidade de pregão eletrônico, pode chegar a levar de 12 a 18 meses para sua conclusão,
tornando-se assim um processo extremamente burocrático e demorado.

2.2

Levantamento de Requisitos para o Sistema PEN no Instituto Federal de Brasília

Como forma de demonstrar a realidade do cenário de contratações de soluções de TI na
APF foi realizada uma busca em diversos órgãos que estavam em fase de implantação do sistema
PEN. Em fevereiro de 2016 foi realizada uma reunião do CONIF3 em Brasília para discutir o
plano de implantação do sistema PEN no IFB com a presença de vários diretores de TI dos
institutos federais e das universidades federais.
O grupo de trabalho presidido pelo diretor de TI do IFB apresentou um documento4
contendo os requisitos técnicos necessários para a implantação inicial do sistema PEN. Para um
melhor entendimento a Figura 2.2 apresenta uma visão macro da infraestrutura de TI necessária
para implementar o sistema no âmbito do IFB.

Figura 2.2: Visão Macro da Infraestrutura de TI necessária no IFB

Neste mesmo documento foi apresentado uma planilha de custos com o detalhamento
dos itens necessários com um valor estimado de R$ 3.603.520,00 (Três milhões, seiscentos e três
mil e quinhentos e vinte reais). Na planilha foram apresentados os seguintes itens: 

Firewall;

3 http://portal.conif.org.br/institucional/o-conif.html
4 https://github.com/alfredopupak/mestradoufpe/blob/master/Relatorio-PEN.pdf

2.3. HISTÓRICO DA COMPUTAÇÃO EM NUVEM 

Storages; 

Licenças Red Hat; 

Licenças VMware; 

Servidores Blade; 

Link MPLS 100 Mbps

29

Nesta mesma reunião foi levantado vários questionamentos ao diretor de TI do IFB
sobre qual metodologia foi utilizada para o cálculo do levantamento de requisitos de toda a
infraestrutura de TI para implantação do sistema PEN. Entretanto, o diretor apenas se prontificou
em dizer que ele juntamente com seu grupo de trabalho fizeram esse levantamento e chegaram a
essa conclusão sem se basearem em um cálculo ou em uma metodologia específica.
Diante do levantamento de requisitos para o sistema PEN elaborado pelo grupo de trabalho do IFB fica evidente a possibilidade de ocorrer erros ocasionados por uma falta de metodologia adequada para a elaboração de projetos de soluções de TI na APF. Além desse detalhe ainda
existe a possibilidade de compras de equipamentos de infraestrutura de TI desnecessárias e com
erros de dimensionamento.
O cenário atual demonstra quais são os principais empecilhos que podem dificultar
as novas contratações de soluções de TI na APF, pois tanto a parte burocrática que exige o
cumprimento das fases da Instrução Normativa no 4 de 2014 juntamente com a lei no 8.666/93
de licitações e contratos, como nos projetos de infraestrutura de TI que podem estar de alguma
maneira mal dimensionados, podem vir a prejudicar ou inviabilizar a implantação do sistema
PEN nos órgãos que ainda não possuem os requisitos de infraestrutura adequados.
Como o objetivo deste trabalho é elaborar um catálogo de boas práticas para contratações
de serviços de Computação em Nuvem na APF foi identificado a necessidade de se conhecer
mais a fundo como é o funcionamento e as características desse novo modelo de computação,
e como ele pode vir a impulsionar a implantação do sistema PEN na APF. Como forma de
demonstrar o potencial de inovação da Computação em Nuvem será apresentada uma seção com
os principais serviços oferecidos baseado no estado da arte.

2.3

Histórico da Computação em Nuvem

A Computação em Nuvem é uma tecnologia emergente que surge como um novo
paradigma da computação, que é capaz de tornar exequível um modelo de computação racional.
Esse modelo utiliza a rede para prover serviços de TI sob demanda, que são medidos e pagos de
acordo com o consumo (DURAO et al., 2014).
O conceito Computação em Nuvem foi introduzido por volta de 1961, quando o
pesquisador John McCarthy disse que a "computação algum dia poderia ser organizada como

2.4. DEFINIÇÃO PARA COMPUTAÇÃO EM NUVEM

30

utilidade pública"(GARFINKEL; ABELSON, 1999), como água, energia e telefone. Outro
pesquisador, conhecido como Douglas Parkhill, também demonstrou as características deste
novo modelo de Computação por utilização no ano de 1966, em seu livro "O Desafio para
Computação Utilitária" (PARKHILL, 1966).
Segundo RAJARAMAN (2014) o termo "Nuvem" foi inicialmente utilizado como uma
metáfora para a Internet no ano de 1997 no Instituto de Tecnologia de Massachusetts (MIT). Já
o termo "Computação em Nuvem" foi pronunciado pela primeira vez pelo executivo chefe da
Google Eric Schimidt no ano de 2006, em uma conferência de mecanismos de estratégias de
buscas do Google, indicando que esse seria um novo modelo de negócio (WILLIS, 2009).
Os serviços de mecanismos de busca na Internet foram as primeiras aplicações implementadas na Nuvem (GIORDANELLI; MASTROIANNI, 2010). As informações eram dispostas
ao usuário como um serviço sob demanda, onde o mecanismo de busca era executado através da
Computação em Nuvem. Os primeiros a fornecerem os mecanismos de busca na Internet foram
o Yahoo em 1995 e o Google em 1998 (MOKHTAR et al., 2013).
Ainda de acordo com MOKHTAR et al. (2013) as primeiras aplicações que utilizaram
os serviços de "Armazenamento em Nuvem" foram os serviços de e-mail do Hotmail em 1996
e Yahoo em 1997. Em 2006 a empresa Sallesforce5 lançou uma forma de executar aplicações
de forma remota, através da Internet, dispensando assim a instalação local da aplicação no
computador pessoal. No mesmo ano a empresa Amazon lança o serviço de armazenamento
e recuperação de dados através da Internet, conhecido como Amazon S36 (Simple Storage
Service).
No ano de 2008 o termo Computação em Nuvem foi incluido como taxonomia através
do Instituto de Engenharia Elétrica e Eletrônica (IEEE) 7 (LIANG-JIE ZHANG, 2008). A
partir desse momento foram realizados uma série de eventos, como congressos, workshops e
conferências relacionados ao assunto.
De acordo com ISLAM et al. (2012) o termo Computação em Nuvem ganhou popularidade na indústria de TI por volta de 2009, quando as gigantes Google, Yahoo e Amazon, como
grandes provedores de serviço de Internet e a IBM e Microsoft como fornecedores de produtos
em TI, apresentaram sua própria estratégia de Computação em Nuvem, onde várias operadoras
de telecomunicações propuseram uma grande plataforma de computação em nuvem a um custo
muito baixo.

2.4

Definição para Computação em Nuvem

O conceito mais amplamente utilizado para Computação em Nuvem e que servirá de
base para esta pesquisa, pode ser definido da seguinte maneira pelo Instituto Nacional de Padrões
5 http://www.salesforce.com/br/service-cloud/overview/
6 https://aws.amazon.com/pt/s3/
7 http://www.ieee.org/about/index.html

2.4. DEFINIÇÃO PARA COMPUTAÇÃO EM NUVEM

31

e Tecnologias (NIST)8 (MELL; GRANCE, 2011):
"Computação em Nuvem é um modelo que permite acesso ubíquo, por
conveniência, onde a rede está disponível sob demanda com o acesso
ao grupo compartilhado de recursos computacionais configuráveis (e.g
servidores, armazenamento, redes, aplicações e serviços) que podem ser
rapidamente provisionados e escalonados com um esforço mínimo por parte
do provedor de serviços."
Ressalta-se que a tecnologia que habilita e permite o uso da Computação em Nuvem é a
Virtualização (AMEEN; HAMO, 2013), pois oferece um nível de abstração entre o hardware e o
software, "mascarando" os recursos computacionais dos usuários ou sistemas de TI.
De acordo com KHMELEVSKY; VOYTENKO (2010) a Computação em Nuvem pode
ser definida como a junção de três importantes tendências da computação: a virtualização, que é
a responsável por fazer a abstração dos recursos de hardware; a computação por utilidade, onde
será cobrado somente pelos serviços que realmente forem consumidos; e o provisionamento
de software, onde as aplicações estarão disponíveis através de uma conta de inscrição e serão
utilizadas de acordo com a demanda.
Segundo ALJENAA; AL-ANZI; ALSHAYEJI (2011) a Computação em Nuvem é capaz
de realizar o provisionamento dos recursos computacionais virtualizados de uma forma dinâmica.
Esses recursos contam com a possibilidade de modificações com alto poder de escalabilidade e
elasticidade, onde o usuário pagará somente pelo uso que for medido.
Já para DONG et al. (2009) a Computação em Nuvem é definida como um grande
centro de dados distribuídos geograficamente, que pode oferecer serviços de infraestrutura e
gerenciamento dos recursos de TI. Esses recursos contam com a possibilidade de balanceamento
de cargas de trabalho, replicação de imagens de máquinas virtuais e gerenciamento unificado.
Essas definições deixam bastante claro que a Computação em Nuvem tem um grande
poder de escalabilidade, onde os recursos de TI que estão hospedados em provedores de Nuvem
podem ser amplamente utilizados pelos usuários de serviços de TI, bastando apenas um dispositivo eletrônico e o acesso a Internet para seu uso (ISLAM et al., 2012). A Figura 2.3 demonstra
o alto poder de integração das tecnologias em computação com o desenvolvimento de aplicações
envolvendo a Computação em Nuvem baseada na pilha de protocolos TCP/IP.
Na Computação em Nuvem as aplicações não precisam estar instaladas localmente nos
equipamentos. Ela mesmo pode oferecer os aplicativos que fornecerão ao usuário a experiência
de enviar e-mails, editar documentos, armazenar arquivos, assistir a vídeos, editar imagens,
acessar agendas, dentre outros, bastando apenas que o dispositivo esteja conectado a Internet
para o seu acesso.
8 http://www.nist.gov/

2.5. CARACTERÍSTICAS ESSENCIAIS DA COMPUTAÇÃO EM NUVEM

32

Figura 2.3: Computação em Nuvem

Fonte: ISLAM et al. (2012)

2.5

Características Essenciais da Computação em Nuvem

A Computação em Nuvem possui características que proporcionam diversos tipos de
benefícios. Estes são amplamente utilizados pelas organizações devido as suas vantagens
(CHHABRA; DIXIT, 2015). Dentre essas características MELL; GRANCE (2011) cita as 5
principais que são conhecidas como características essenciais:

2.5.1

Serviço sob demanda

Nessa característica o usuário pode provisionar recursos adicionais de computação como
armazenamento, poder de processamento e quantidade de memória de uma forma automática,
sem nenhum tipo de intervenção humana. Esses recursos são auto-configuráveis e escalonáveis
de acordo com a necessidade de cada usuário. Os recursos computacionais serão alocados de
acordo com a necessidade de uma organização com a possibilidade de configuração de um grande
pool de recursos disponíveis a essa organização.

2.5.2

Elasticidade rápida

Na elasticidade rápida os recursos podem ser elasticamente provisionados de uma forma
bem rápida e dinâmica, tanto na forma de diminuir os recursos computacionais como na forma
de aumentá-los de acordo com a demanda. Para os usuários esses recursos de provisionamento
podem parecer ilimitados. O provisionamento dos recursos computacionais pode ser feito de
forma automatizada, sem a necessidade da intervenção humana.

2.5.3

Amplo acesso a rede

Essa característica possibilita aos diversos tipos de dispositivos de tecnologia da informação como: tablets, smartphones, notebooks, estações de trabalho e celulares o acesso e
utilização dos recursos advindos da infraestrutura de Computação em Nuvem. As aplicações

2.6. MODELOS DE SERVIÇO PARA COMPUTAÇÃO EM NUVEM

33

que são desenvolvidas para os clientes, que são os consumidores finais, devem estar disponíveis
mesmo em ambientes totalmente heterogêneos.

2.5.4

Serviços confiáveis

A confiabilidade na Computação em Nuvem é bem maior do que o modelo tradicional
de computação devido ao fato de disponibilizar diversos provedores de serviços de Nuvem
espalhados ao redor do mundo. Esses provedores garantem o serviço contínuo mesmo quando
ocorrer a queda de um serviço em um provedor, com a possibilidade de fazer o redirecionamento
da solicitação desse usuário a outro provedor disponível. Na Computação em Nuvem a confiabilidade pode ser obtida através da utilização de vários sites em redundância, que é o adequado
para a continuidade dos negócios e na recuperação de desastres.

2.5.5

Serviços Medidos

Existem métricas que são aplicadas para fazer a medição dos serviços na Computação
em Nuvem. Os recursos computacionais como horas de processamento na unidade central de
processamento CPU, quantidade de dados que são armazenados em um STORAGE, uso de
banda de um link, dentre outros, são constantemente monitorados para que o resultado seja
extraído de acordo com a medição realizada. Apesar da infraestrutura de Computação em
Nuvem compartilhar seus recursos computacionais com os mais diversos tipos de clientes e
consumidores, ela também é capaz de fazer a medição do uso de todos esses recursos que são
disponibilizados aos seus clientes finais.

2.6

Modelos de Serviço para Computação em Nuvem

Antes de falar sobre os modelos de serviços é importante salientar que a Computação em
Nuvem utiliza o modelo de tarifação na Internet conhecido como pay-per-use ou pague pelo uso.
Segundo BUYYA; BROBERG; GOSCINSKI (2010) esse modelo de pay-per-use é caracterizado
por uma grande variedade de aplicações que é fornecida aos clientes como serviço através da
Internet, medidos e cobrados de acordo com a utilização. Essas aplicações estão hospedadas em
provedores de Nuvens de grandes Datacenters.
A Computação em Nuvem tem a capacidade de oferecer diversos tipos de serviços que
podem estar disponíveis a um usuário, ou a uma empresa, ou ainda a uma grande corporação
envolvendo várias empresas. Esses serviços prestados podem ser categorizados em três principais
modelos de serviços (MELL; GRANCE, 2011): Infraestrutura como Serviço (IaaS); Software
como Serviço (SaaS); e Plataforma como Serviço (PaaS).

2.6. MODELOS DE SERVIÇO PARA COMPUTAÇÃO EM NUVEM

2.6.1

34

Infraestrutura como Serviço - IaaS

Na IaaS os provedores de Nuvem vão disponibilizar uma infraestrutura de TI como selfservice para as organizações, onde o termo self-service é utilizado em um contexto de sirva-se a
vontade ou ainda sirva-se de acordo com o gosto, onde cada cliente pode gerenciar e executar
de forma privilegiada as tarefas do sistema em suas próprias instâncias de máquinas virtuais,
proporcionando assim flexibilidade (BUTT et al., 2012). Essas organizações poderão utilizar
essa infraestrutura e pagar somente pelo uso de acordo com a demanda de um determinado
momento.
No modelo de Infraestrutura como Serviço (IaaS) será fornecido aos usuários o controle
total sobre o instanciamento das máquinas virtuais. O usuário poderá fazer o provisionamento da
quantidade de CPU, de memória RAM, capacidade de armazenamento, além de fazer a escolha
do sistema operacional, ou seja, o usuário tem a possibilidade de configurar a máquina virtual de
acordo com a sua necessidade (GAJBHIYE; SHRIVASTVA, 2014). São exemplos de IaaS o
Amazon Web Services9 , OpenStack10 e Eucalyptus11 .
De acordo com MELL; GRANCE (2011) na Infraestrutura como Serviço os usuários
terão acesso aos recursos da infraestrutura de computação através da Internet, podendo utilizar
desde o espaço de armazenamento, recursos de redes, poder de processamento e de memória
RAM, dentre outros, além de ter a possibilidade de executar vários tipos de sistemas operacionais
e aplicações. O consumidor terá o controle total do gerenciamento dessa infraestrutura e pagará
somente pelo seu uso.
A tecnologia de virtualização nos Datacenters é a que permitirá o provisionamento do
seu enorme poder computacional, oferecendo os recursos de infraestrutura como armazenamento,
rede e processamento, de uma forma dinâmica e que serão entregues sob demanda aos consumidores. Estes consumidores podem dimensionar os recursos computacionais tanto para cima
quanto para baixo, sem a necessidade de saber o que realmente existe na infraestrutura física do
Datacenter (TSAI; SUN; BALASOORIYA, 2010).

2.6.2

Plataforma como Serviço - PaaS

Nesse modelo de serviço será oferecido um ambiente com uma plataforma de desenvolvimento de aplicações aos usuários que utilizam esse tipo de serviço. O Google App Engine12 , o
Microsoft Azure13 e o Amazon Map Reduce14 são exemplos de PaaS.
Segundo SMITH (2011) no PaaS é disponibilizada uma infraestrutura de Nuvem com uma
plataforma de desenvolvimento de software que possibilita a criação e implantação de aplicações
9 https://aws.amazon.com/pt/
10 https://www.openstack.org/
11 http://www8.hp.com/br/pt/cloud/helion-eucalyptus-overview.html
12 https://cloud.google.com/appengine/
13 https://azure.microsoft.com/pt-br/
14 https://aws.amazon.com/pt/elasticmapreduce/

2.6. MODELOS DE SERVIÇO PARA COMPUTAÇÃO EM NUVEM

35

que são dispostas como um serviço para o consumidor. Nesse modelo serão fornecidos Sistemas
Gerenciadores de Banco de Dados, linguagens de programação, produtos de portal, processos de
negócios e servidores de aplicação.
No modelo de Plataforma como Serviço os consumidores terão acesso através do provedor de Nuvem a um conjunto de ferramentas que possibilitarão a configuração de um ambiente
de desenvolvimento e implantação de aplicações. Essas configurações podem ser a escolha da
linguagem de programação ou de um banco de dados, porém esses consumidores não terão
acesso aos recursos como servidores, rede, processamento e sistemas operacionais fornecidos
pelo provedor de Nuvem (PUTHAL et al., 2015).
De acordo com MELL; GRANCE (2011) o modelo de PaaS vai proporcionar um ambiente com uma plataforma de nuvem que oferece aos desenvolvedores a possibilidade de criar,
codificar e implantar os mais diversos tipos de aplicações da computação, e esses serviços e
aplicações serão executados sobre essa plataforma sem a necessidade de se preocupar com a
infraestrutura de nuvem que vai prover esse serviço.

2.6.3

Software como Serviço - SaaS

No modelo de Software como Serviço (SaaS) ao invés dos usuários comprarem uma
chave de licença de software para ser instalada no sistema, o provedor de serviços de Nuvem irá
fornecer uma forma de locação, ou taxa de inscrição, pelo uso do software. Esse modelo permite
o benefício de atualização centralizada, sem a necessidade de instalação de patchs e controles de
versão. Um dos exemplos de SaaS seria o Google Docs15 e o Salesforce16 .
Segundo o Instituto Nacional de Padrões e Tecnologias (NIST) MELL; GRANCE (2011)
o Software como Serviço:
"Tem a capacidade de fornecer ao consumidor o uso dos provedores de
aplicações rodando sob uma infraestrutura de Nuvem. Essas aplicações
são acessíveis aos clientes a partir de vários dispositivos através de uma
interface de cliente simples, como um navegador Web (por exemplo um
e-mail baseado na Web) ou uma interface de programa. O consumidor
não gerencia ou controla a infraestrutura de Nuvem subjacente, incluindo
rede, servidores, sistemas operacionais, armazenamento, ou até mesmo
recursos de aplicações individuais, com a possível exceção de configuração
de aplicativos específicos de usuário de uma forma limitada."
Para BELAHCEN; ABIK; AJHOUN (2012) no SaaS qualquer dispositivo de computação
com requisitos mínimos de hardware, como celulares e smartphones, é capaz de obter sucesso
usando um software hospedado na Nuvem. Além desse benefício existe a possibilidade de
instalação de novos softwares com maior facilidade e flexibilidade, sem a necessidade de que
seja instalado fisicamente o software no equipamento, ou ainda que sejam feitas as atualizações
15 https://docs.google.com/
16 http://www.salesforce.com

2.6. MODELOS DE SERVIÇO PARA COMPUTAÇÃO EM NUVEM

36

de máquina por máquina. Esse modelo se diferencia do tradicional pelo motivo de que o
pagamento é feito somente pelo uso do software e não na instalação de uma chave de licença por
equipamento.
De acordo com TSAI; SUN; BALASOORIYA (2010) no SaaS o software é apresentado aos usuários como um serviço sob demanda e fornece a integração com outros tipos de
aplicações com uma grande facilidade. Esse software geralmente é acessado por um navegador
e compartilhado por vários usuários através de Provedores de Serviços de Nuvem espalhados
pelo mundo. Os recursos adicionais podem ser solicitados sob demanda sem a necessidade de
aquisição de licenças e as atualizações são feitas de forma automática dispensando a intervenção
humana.
No SaaS não existe a necessidade especifica de um hardware para a execução do software.
Esses serviços ou softwares são acessados através da Internet com as aplicações que estão sobre
a infraestrutura dos Provedores de Nuvem. Este modelo de serviço é pago pelo uso e possui um
grande poder de escalabilidade para novas requisições dos consumidores, além de possuir um
nível a mais de segurança fornecendo maior confiabilidade (MOLLAH; ISLAM, 2012).
Os três principais modelos de serviços citados por MELL; GRANCE (2011) são utilizados por consumidores de serviços hospedados em Provedores de Nuvem e estão de acordo com
a especificidade de cada demanda. A Figura 2.4 ilustra o perfil dos consumidores de Nuvem de
acordo com as suas características.

Figura 2.4: Consumidores de Serviços em Nuvem

Fonte: MELL; GRANCE (2011)

2.7. MODELOS DE IMPLANTAÇÃO PARA COMPUTAÇÃO EM NUVEM

37

Os consumidores do modelo de IaaS fazem o uso de serviços e aplicações que incluem
armazenamento de dados, gerenciamento dos recursos computacionais, backup e recuperação de
desastres em sites e configuração de máquinas virtuais.
Para os consumidores do modelo de PaaS são oferecidos serviços como plataforma de
teste e desenvolvimento de software, implantação de aplicações, gerenciamento de bancos de
dados e integração entre aplicações distintas.
Já os consumidores do modelo de SaaS utilizam softwares de gerenciamento de documentos, aplicações de e-mail e escritório, redes sociais, gerenciamento de conteúdo, gerenciamento
de recursos humanos e softwares de controle financeiro.

2.7

Modelos de Implantação para Computação em Nuvem

De acordo com BUYYA; BROBERG; GOSCINSKI (2010) os modelos de implantação
na Computação em Nuvem podem variar de acordo com a sua localidade e distribuição física,
podendo também definir os níveis de acesso aos usuários. Existem quatro tipos principais de
modelos de implantação para Computação em Nuvem: 1) Nuvem Privada; 2) Nuvem Pública; 3)
Nuvem Comunitária; e 4) Nuvem Híbrida (MELL; GRANCE, 2011).

2.7.1

Nuvem Privada

Neste modelo de implantação o provisionamento dos recursos da infraestrutura computacional serão restritos e exclusivamente de uma determinada organização em particular. A
infraestrutura de nuvem será de propriedade da própria organização ou de uma empresa terceirizada e o seu gerenciamento e operação podem ser feitos pela própria organização ou também
por uma empresa terceirizada (POLASH; ABUHUSSEIN; SHIVA, 2014).
Segundo BELAHCEN; ABIK; AJHOUN (2012) a Nuvem Privada é projetada para o
acesso de um número limitado de usuários (ex: professores, alunos, tutores) através de uma
infraestrutura de redes seguras e essa infraestrutura pode ser gerenciada pelo cliente ou ainda por
um provedor de Nuvem confiável. O objetivo da implementação da Nuvem Privada é virtualizar
a infraestrutura interna para disponibilizar de forma mais simples e rápida os serviços de TI aos
seus clientes.
Já para ALJENAA; AL-ANZI; ALSHAYEJI (2011) a Nuvem Privada parte da premissa
que a infraestrutura computacional tem que ser de propriedade da própria organização ou de um
provedor e estar disponível através de redes seguras protegidas por um firewall. Essa segurança
vai permitir que os provedores e usuários finais tenham mais controle sob a infraestrutura de
Nuvem e com os processos que são gerenciados pela organização.

2.7. MODELOS DE IMPLANTAÇÃO PARA COMPUTAÇÃO EM NUVEM

2.7.2

38

Nuvem Pública

No modelo de implantação de Nuvem Pública todos os serviços oferecidos pelos Provedores de Nuvem são disponibilizados para as pessoas em geral, sem nenhum tipo de restrição
e apenas com a contrapartida de que o pagamento seja feito de acordo com o uso durante a
utilização do serviço. O provedor de serviços será o responsável pelo gerenciamento e instalação
da infraestrutura de Nuvem (JADEJA; MODI, 2012).
De acordo com MARSTON et al. (2011) a Nuvem Pública é uma solução para implantar
soluções de TI com baixo custo. Esse modelo é caracterizado principalmente por estar disponível
ao público em geral através de provedores de serviços de Nuvem hospedados em empresas
terceirizadas. O Google Apps17 é um exemplo clássico de Nuvem Pública utilizado por várias
organizações e clientes.
O modelo de Nuvem Pública reserva um espaço virtual exclusivo para cada usuário e
está disponível para o público em geral. O usuário pode se beneficiar dos serviços oferecidos
pela infraestrutura de Nuvem Pública bastando apenas que ele pague de acordo com o tempo de
utilização. Os serviços disponibilizados por essa infraestrutura são de propriedade de empresas
terceirizadas e são mantidos e gerenciados por grandes Datacenters (GAJBHIYE; SHRIVASTVA,
2014).

2.7.3

Nuvem Comunitária

Este modelo de implantação é aplicado quando os serviços de tecnologia da informação
são compartilhados por todos em uma comunidade que envolva várias organizações e que
possuam interesses em comum como: políticas, objetivos e missões. A infraestrutura de Nuvem
Comunitária pode ficar dentro de uma das organizações da comunidade, ou pode ser hospedada
por prestadores de serviços terceirizados (JADEJA; MODI, 2012).
De acordo com DILLON; WU; CHANG (2010) uma Nuvem Comunitária é composta
por várias organizações onde são compartilhadas as mesmas preocupações de valores, ética,
políticas e requisitos funcionais. Essas organizações compartilham de uma mesma infraestrutura
de Nuvem que oferece um alto grau de escalabilidade econômica e utiliza a democracia como
forma de manter o equilíbrio entre si. A infraestrutura pode ser mantida por terceiros ou por uma
das organizações que fazem parte da comunidade.

2.7.4

Nuvem Híbrida

Como o próprio nome sugere, esse modelo de implantação faz a combinação de duas ou
mais infraestruturas de nuvens distintas (privada, comunitária, ou pública) que permanecem como
uma única entidade. Os participantes dessa infraestrutura de Nuvem estão unidos por tecnologias
padronizadas que permitem a portabilidade de aplicações entre eles (MELL; GRANCE, 2011).
17 https://apps.google.com/

2.7. MODELOS DE IMPLANTAÇÃO PARA COMPUTAÇÃO EM NUVEM

39

De acordo com CHOU (2015) a Nuvem Híbrida é o serviço que conta com a colaboração
da Nuvem Pública com a Nuvem Privada e com as opções de uma Nuvem Comunitária. Este
modelo é baseado nas necessidades corporativas como estratégia, segurança e confidencialidade,
onde as organizações podem alocar as cargas de trabalho em infraestruturas de Nuvem separadas.
Um exemplo seria a utilização de uma Nuvem Pública para enviar dados e uma Nuvem Privada
para um ambiente de desenvolvimento de aplicações.
Atualmente esse tipo de Nuvem é amplamente utilizado por organizações que desejam
minerar os dados sensíveis a partir dos dados não sensíveis. Um exemplo tipico seria a utilização
de uma Nuvem Privada para a manutenção de um banco de dados com informações confidenciais,
e as demais informações não confidenciais seriam mantidas pela Nuvem Pública (CHHABRA;
DIXIT, 2015).
Uma forma de demonstrar às organizações e clientes todas as características e modelos
encontrados na Computação em Nuvem é apresentando uma visão geral desse novo paradigma
da computação. A Figura 2.5 ilustra essa visão geral.

Figura 2.5: Visão Geral da Computação em Nuvem

Fonte: WIND (2011)
Esta figura evidencia a categorização da Computação em Nuvem como uma nova forma
de disponibilizar o provisionamento de recursos computacionais que são entregues aos consumidores finais como um tipo de serviço. Esses serviços são disponibilizados na forma de
infraestrutura, plataforma ou software (AHMADIPOUR et al., 2012).
Estes serviços podem ser implantados e gerenciados dentro da própria organização
com sua própria infraestrutura de TI, ou ainda podem ser implantados dentro de uma empresa
terceirizada e ter o gerenciamento feito pela própria organização ou pela terceirizada e, por
último, existe a possibilidade da combinação de duas infraestruturas de Nuvens distintas como

2.8. STAKEHOLDERS NA COMPUTAÇÃO EM NUVEM

40

uma privada e outra pública (SMITHA; THOMAS; CHITHARANJAN, 2012).
Segundo MELL; GRANCE (2011) esse novo paradigma da computação utiliza a Internet
para habilitar suas características essenciais. A Computação em Nuvem permite um amplo
acesso a rede, serviços de computação sob demanda, rápida elasticidade, serviços medidos, e
acesso a um grande pool de recursos computacionais, como armazenamento, processamento e
memória.

2.8

Stakeholders na Computação em Nuvem

De acordo com KULKARNI (2008) o stakeholder pode ser uma pessoa, equipe ou
organização que possuem interesses e preocupações relacionados a um sistema. A necessidade
dos stakeholders é o requisito funcional mais importante das partes interessadas para explorar
características como eficiência, usabilidade, confiabilidade e desempenho. Recentemente foi
desenvolvida uma taxonomia que atribui os papéis e responsabilidades de cada entidade envolvida
no processo de Computação em Nuvem. Segundo MELL; GRANCE (2011) os cinco principais
envolvidos são: 1) Cloud Consumer; 2) Cloud Provider; 3) Cloud Auditor; 4) Cloud Broker; e 5)
Cloud Carrier.

2.8.1

Cloud Consumer

Os usuários ou organizações que utilizam os serviços oferecidos pela infraestrutura de
um provedor de Nuvem são conhecidos como "Cloud Consumers". Esses clientes procuram os
mais diversos tipos de serviços disponíveis nos provedores de Nuvem e, a partir dessa escolha
estabelecem um acordo de nível de serviço (SLA) como forma de garantir que os serviços serão
entregues de forma adequada (GAJBHIYE; SHRIVASTVA, 2014).
De acordo com LEHRIG; EIKERLING; BECKER (2015) os Cloud Consumers tem a
liberdade de fazer a escolha e solicitação dos serviços que são disponibilizados pelos provedores
de Nuvem. Esses serviços são negociados de acordo com as condições dos provedores disponíveis
nos objetivos de níveis de serviços (SLO).

2.8.2

Cloud Provider

Segundo THAKORE; WEAVER; SANDERS (2013) um Cloud Provider é o proprietário e fornecedor da infraestrutura física dos recursos computacionais de um provedor. Essa
infraestrutura é a responsável por fornecer os serviços prestados pelo provedor de Nuvem, como
software, plataforma e recursos de hardware. Esse provedor não tem o controle sobre os dados
ou aplicações que estão sendo executados através de seus serviços.
O Cloud Provider é o principal responsável por tornar disponível uma infraestrutura
técnica necessária para o fornecimento dos serviços de tecnologia como recursos de software,
plataformas de desenvolvimento e gerenciamento de infraestrutura dos recursos computacionais.

2.8. STAKEHOLDERS NA COMPUTAÇÃO EM NUVEM

41

Esses serviços são provisionados e entregues aos consumidores de Nuvem de acordo com o
termo de nível de serviço (SLA). Esse termo é a principal garantia da privacidade dos dados e a
segurança dos serviços prestados (MELL; GRANCE, 2011).

2.8.3

Cloud Auditor

De acordo com RAJ; SARFARAZ; SINGH (2014) o Cloud Auditor é uma pessoa ou
empresa que é responsável por fazer o acompanhamento e avaliação dos serviços em Nuvem.
Eles trabalham para realizar uma auditoria bem detalhada dos recursos computacionais que estão
no termo de acordo de serviço, como performance da velocidade, segurança dos dados, e custos
com implementações de aplicações em Nuvem.
O papel do Cloud Auditor é fazer o acompanhamento dos requisitos como desempenho,
privacidade e controle de segurança sobre os serviços que são prestados por um provedor de
Nuvem. Essas pessoas vão realizar uma auditoria para verificar se os serviços estão funcionando
como o desejado e se estão alcançando os resultados esperados em relação ao cumprimento dos
requisitos de segurança para os sistemas BOHN et al. (2011).

2.8.4

Cloud Broker

De acordo com CHHABRA; DIXIT (2015) o papel do Cloud Broker é fazer a intermediação ou negociação entre os clientes e os provedores de serviços de Nuvem. A parte técnica de
um serviço de Nuvem pode ser bastante complexa a um usuário com conhecimentos limitados em
informática. A principal atribuição desses corretores é facilitar o gerenciamento desses serviços
fornecidos por vários provedores através de uma única interface de gerenciamento amigável.
O Cloud Broker pode ser um individuo ou organização que atua como negociador entre
os consumidores e os provedores de Nuvem. Esses corretores realizam o serviço de integração
de diferentes prestadores de serviços e fornece aos consumidores a facilidade de gerenciamento
e compatibilidade entre os provedores de Nuvem (GAJBHIYE; SHRIVASTVA, 2014).

2.8.5

Cloud Carrier

A entidade Cloud Carrier vai atuar como o intermediária responsável por fornecer a
conectividade e o transporte dos serviços entre os consumidores de Nuvem e os provedores de Nuvem. Eles vão providenciar o acesso desses consumidores através de redes de telecomunicações
e outros equipamentos de acesso a rede (MELL; GRANCE, 2011).
De acordo com AMANATULLAH et al. (2013) o papel do Cloud Carrier é possibilitar
o transporte físico da conectividade entre os provedores de Nuvem e consumidores de Nuvem.
Essa conectividade entre os envolvidos só vai ser possível através de um bom provedor de
Internet, que irá garantir a concretização das metas propostas.

2.9. RESUMO DO CAPÍTULO

2.9

42

Resumo do Capítulo

Este capítulo abordou o atual cenário de contratações de soluções de TI na APF. Além
do cenário de contratações foi apresentado todo o referencial teórico com o estudo do estado da
arte da Computação em Nuvem. Nele foram abordados as características essenciais, modelos de
serviços, modelos de implantação e papeis dos principais stakeholders envolvidos nesse novo
paradigma da computação. Essa abordagem servirá de base para a discussão dos resultados nos
próximos capítulos.
O próximo capítulo vai apresentar a análise e interpretação dos resultados, apresentando
os resultados obtidos, as técnicas e ferramentas aplicadas na coleta de dados e, a forma como foi
realizado o tratamento dos dados.

43

3
ANÁLISE E INTERPRETAÇÃO DOS RESULTADOS
Nesta seção apresenta-se uma leitura criteriosa dos dados coletados por meio das ferramentas e questionários aplicados aos Gestores de TI que atuam na APF lotados no IF Goiano,
seguido da análise dos resultados obtidos. Finalmente, considerando toda a pesquisa feita com
o estudo exploratório da literatura e os resultados obtidos, foi elaborada uma proposta com a
apresentação do Catálogo de Boas Práticas para a adoção da Computação em Nuvem na APF,
com o objetivo de prover uma infraestrutura de TI adequada na implantação do sistema PEN dos
diversos órgãos do Governo Federal.
Os critérios para elaboração do questionário foram baseados em um esforço conjunto
do autor da pesquisa juntamente com seu orientador, que contam com uma vasta experiência
profissional, sendo que o autor já atua a quinze anos na área de TI, onde seis desses anos são
voltados para atribuições na área de Gestão de TI. Já o orientador possui uma vasta experiência
de pesquisa na área de Ciência da Computação, além de atuar como consultor e outras atribuições
relevantes em várias empresas de TI.
O questionário com dezesseis perguntas semi-estruturadas disponível para consulta no
Apêndice A, foi aplicado aos seis Gestores de TI lotados no IF Goiano e obteve-se a resposta
de todos. O referido questionário foi aplicado de forma sigilosa, ou seja, sem a identificação
nominal do participante.
As questões foram divididas em quatro seções: 1) Perfil dos participantes; 2) Aplicabilidade da Governança de TI; 3) Projetos de aquisição de ativos de rede e licenças de software;
e 4) Utilização da Infraestrutura de Datacenter na APF. Estas quatro seções foram estrategicamente escolhidas para identificarem as dificuldades reais enfrentadas pelos Gestores de TI para
concretizarem novos projetos de soluções de TI.
Na aplicação do questionário, foi utilizada a ferramenta LimeSurvey, que possibilitou o
envio do link de acesso ao referido questionário aos Gestores, por meio do seu e-mail. Dessa
forma, ao responder o questionário, o entrevistado já disponibilizava as respostas de forma
automática ao autor.

44
Além da aplicação do questionário online foram realizadas três webconferências com o
objetivo de discutir e agregar as opiniões dos Gestores de TI em relação as respostas apresentadas
no survey. Foi através do consenso dessas opiniões é que foi tomada a decisão para a escolha
dos critérios que seriam adotados na elaboração do Catálogo de Boas Práticas.

3.0.1

Caracterização do Instituto Federal Goiano

As Instituições que formam hoje a Rede Federal de Educação Profissional, Científica
e Tecnológica são originárias das 19 escolas de aprendizes artífices instituídas por um decreto
presidencial de 1909, assinado pelo então presidente Nilo Peçanha. Essas escolas, inicialmente
subordinadas ao Ministério dos Negócios da Agricultura, Indústria e Comércio, são transferidas
em 1930 para a supervisão do Ministério da Educação e Saúde Pública. Sete anos depois, são
transformadas nos Liceus Industriais. Um ano após o ensino profissional ser considerado de
nível médio, em 1942, os liceus passam a se chamar escolas industriais e técnicas e em 1959,
escolas técnicas federais – configuradas como autarquias.
Ao longo desse tempo, constitui-se uma rede de escolas agrícolas – as Escolas Agrotécnicas Federais. Esse ensino técnico teve ênfase numa época em que o Brasil, em franco desenvolvimento agrícola e industrial, necessitava ampliar seu contingente de mão de obra técnica
especializada. Logo a Educação Profissional e Tecnológica assumiu valor estratégico para o
desenvolvimento nacional resultante das transformações das últimas décadas.
Na mais recente dessas transformações nasce o Instituto Federal Goiano (IF Goiano),
criado por meio da Lei 11.892, de 29 de dezembro de 20081 , juntamente com outros 37 Institutos
Federais de Educação, Ciência e Tecnologia. As novas instituições são fruto do reordenamento
e da expansão da Rede Federal de Educação Profissional e Tecnológica, iniciados em abril de
2005.

3.0.2

Perfil dos Participantes Envolvidos na Pesquisa

Nesta seção analisam-se os dados coletados na pesquisa que foi enviada ao e-mail de
cada participante, realizada no período entre 04 de janeiro de 2016 e 25 de janeiro de 2016, onde
os participantes informaram os dados gerais de seus perfis profissionais nas organizações em que
trabalham. No primeiro momento analisam-se os dados coletados a fim de identificar o perfil dos
profissionais participantes.
De acordo com os dados todos os profissionais envolvidos nesta pesquisa tem a formação
relacionada com a área de conhecimento de Ciência da Computação de acordo com a avaliação
elaborada pela Capes2 . Portanto isso certifica que estes profissionais estão preparados e tem o
conhecimento técnico desejável para contribuírem com o sucesso deste trabalho de pesquisa. O
gráfico da Figura 3.1 demonstra a formação de cada um dos participantes envolvidos na pesquisa.
1 https://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11892.htm
2 http://www.capes.gov.br/avaliacao/instrumentos-de-apoio/tabela-de-areas-do-conhecimento-avaliacao

45

Figura 3.1: Área de formação dos participantes

O participante C é formando em Engenharia da Computação, os participantes B, A e
F tem a formação em Sistemas da Informação e os participantes D e E tem a formação em
Processamento de Dados. Estes dados também são importantes para a garantir a confiabilidade
da metodologia adotada com a opinião de especialistas em TI, onde todos tem que ser peritos no
assunto abordado nesta pesquisa que, no caso deste trabalho está relacionado a Gestão de TI.
Outro detalhe importante que foi analisado esta relacionado ao cargo de gestão em TI
que estes profissionais estão exercendo em seus locais de trabalho. O gráfico da Figura 3.2 ilustra
o cargo que cada um dos participantes ocupa na APF.

Figura 3.2: Cargos dos profissionais

A maioria expressa por 50% dos profissionais ocupa o cargo de Gerente de TI, enquanto
33,3% ocupam o cargo de Diretor de TI e somente 16,7% ocupam o cargo de Coordenador de
TI. Isso demonstra que a totalidade das respostas registradas foi dada por servidores públicos
federais que ocupam cargos estratégicos e de grande relevância na APF.
Em relação ao tempo de serviço que esses profissionais desempenham nas suas funções

46
como Gestores de TI, os participantes A e C atuam a seis anos ou mais, os participantes B e E
atuam a cinco anos e o participante D atua a dois anos nessa função. O gráfico da Figura 3.3
apresenta o tempo de serviço que cada um exerce nas atribuições de gestão em TI da APF.

Figura 3.3: Tempo de serviço no cargo de Gestão em TI

O gráfico demonstra que a maioria, quatro destes Gestores de TI, atua a cinco anos ou
mais na Gestão de seus órgãos na APF e somente um deles atua a dois anos no cargo. Isso deixa
claro que todos já possuem o conhecimento relacionado às principais atribuições e competências
exigidas neste cargo de gestão estratégica ocupado na APF.

3.0.3

Aplicabilidade da Governança de TI

Nesta seção o objetivo foi demonstrar o grau de conhecimento e a aplicabilidade da
Governança de TI nos órgãos da APF de acordo com a visão dos Gestores de TI. Segundo o
Information Technology Governance Institute (ITGI)3 :
“A Governança de TI é de responsabilidade dos executivos e da alta direção,
consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de TI da organização suporte e aprimore os
objetivos e as estratégias da organização.”
Em relação a aplicabilidade da Governança de TI nos órgãos da APF a maioria dos
Gestores respondeu que se aplica apenas de forma parcial a Governança em seus locais de
trabalho. A Figura 3.4 ilustra o percentual de aplicabilidade da Governança de TI nos campus e
reitoria do IF Goiano.
A maioria, 83,3% dos Gestores, respondeu que se aplica parcialmente a Governança de
TI, enquanto 16,7% disse que não se aplica a Governança de TI em seu Campus. A resposta
que os cinco participantes deram justificando a não aplicabilidade total da Governança de TI
nos seus locais de trabalho foi devido ao fato deles terem que se desdobrar em várias outras
3 http://www.isaca.org/itgi/Pages/default.aspx

47

Figura 3.4: Aplicabilidade da Governança de TI

atribuições pertinentes ao cargo de TI, como o de Analista de TI, por exemplo, deixando a desejar
nos principais papéis de suas atribuições, que são a de planejamento e governança. O outro
participante disse que não se aplica por falta de comunicação e alinhamento com a alta direção.
Em relação a expectativa da força de trabalho disponível aos Gestores de TI, que é
formada pelos integrantes Analistas e Técnicos de TI da equipe responsável pela execução
dos serviços de TI nos Campus e Reitoria, foi realizado o questionamento se a equipe tem a
capacidade de atender as demandas dentro do prazo planejado. A Figura 3.5 demonstra o estado
atual da força de trabalho que cada Gestor dispõe para executar as mais diversas demandas de TI.

Figura 3.5: Força de trabalho da equipe de TI

O cenário é bem complicado em relação a força de trabalho disponível aos Gestores de TI
para o atendimento das demandas. Apenas 50% disseram que a equipe é parcialmente completa
e que podem atender parcialmente as expectativas na maioria das vezes, 33,3% responderam que
a equipe de TI é totalmente incompleta e que falta muito para atender as expectativas e os 16,7%
disseram que a equipe de TI está um caos e que será necessário uma reformulação geral para
atender o mínimo das expectativas. Isso evidencia uma grande carência por profissionais de TI e
essa deficiência pode impactar negativamente na qualidade da prestação de serviços de TI da
APF.

48
Com o objetivo de descobrir quais são os principais motivos que impedem a execução de
novos projetos de soluções de TI na APF, foram selecionadas as cinco situações mais comuns
que podem causar o cancelamento ou o adiamento da execução destes projetos. A Figura 3.6
demonstra estes impedimentos, que podem ser: Restrição Orçamentária, Planejamento da
Contratação, Falta de apoio da alta direção, Levantamento da Demanda e Processo Burocrático.

Figura 3.6: Impedimentos nas contratações de soluções de TI na APF

Todos os Gestores de TI 100% afirmaram que uma das causas tem haver com a restrição
orçamentária imposta pelo Governo Federal causada principalmente pela geração de cortes no
orçamento público ao longo do ano. Além do consenso geral em relação ao orçamento, eles
também foram unânimes em dizer que o processo de contratação de soluções de TI na APF é
bastante burocrático exigindo, na maioria das vezes, mais de um ano para sua finalização entre as
etapas de planejamento e licitação dos projetos. Os outros 50% afirmaram que o planejamento
da contratação também é muito trabalhoso e complexo devido a exigência do cumprimento
das etapas de construção do processo de contratação de soluções de TI, com a elaboração dos
artefatos impostos pela Instrução Normativa no 4 de 2014. Já o motivo de levantamento da
demanda teve consentimento de 33.3% dos participantes, com a justificativa de que nem todos
os usuários que participam da elaboração do documento de oficialização da demanda tem os
conhecimentos técnicos desejáveis para realizarem tal tarefa. Por último os 16,7% justificaram a
falta de vontade ou apoio da alta direção para execução desses novos projetos de TI na APF.

3.0.4

Projetos de Aquisição de Ativos de Rede e Licenças de Software

Com a terceira seção da pesquisa buscou-se conhecer a realidade dos trâmites internos
que envolvem os processos de compras e aquisição de ativos de rede e licenças de software
na APF. Além desses detalhes foram analisados os serviços prestados pela equipe de TI com
o desenvolvimento de aplicações no IF Goiano. Foram obtidas informações como o tempo
levado durante todo o processo, que vai desde o planejamento até a finalização com a licitação e
aquisição desses recursos de TI.
Foi feito o questionamento aos Gestores de TI de quando surge novas demandas na APF
por ativos de rede, qual é o tempo médio que se gasta desde a elaboração e planejamento do

49
projeto até sua aquisição depois do sucesso nas licitações. A Figura 3.7 aborda o tempo médio
gasto para adquirir novos ativos de rede para a infraestrutura de TI.

Figura 3.7: Tempo médio gasto para aquisição de Ativos de Rede na APF

A maioria com cinco participantes respondeu que se leva de doze a dezessete meses para
a finalização do processo de contratação de ativos de rede e apenas um participante respondeu
que demora de seis a onze meses para o sucesso na aquisição. Todos eles responderam que a
demora com o tempo gasto no processo se deve aos trâmites burocráticos exigidos pela Instrução
Normativa no 4 de 2014 que normatiza as compras de soluções de TI na APF e também pela lei
no 8.666/93 que regula as formas de licitações e contratos na APF.
Essa realidade é bastante preocupante, pois muitas das vezes surgem demandas urgentes,
que teriam que ser atendidas em tempo real, como a necessidade de aumentar recursos de
armazenamento e processamento nos Datacenters para melhorar a qualidade dos serviços
prestados a população em geral. Os participantes também frisaram que essa demora na finalização
dos processos de aquisição de ativos de rede podem prejudicar de outras maneiras, como o
cancelamento da compra por motivos de falta de recursos orçamentários.
O outro questionamento feito aos Gestores foi em relação ao atendimento das demandas
que surgem com relação a aquisição de licenças de softwares proprietários na APF. O gráfico da
Figura 3.8 demonstra o tempo médio gasto desde o planejamento até a aquisição dessas licenças
de sofware.
A maior parte dos participantes, com 83,3%, disse que todo o processo de aquisição
de licenças de software pode levar de doze a dezessete meses, enquanto 16,7% responderam
que o tempo gasto pode ir de dezoito a vinte e quatro meses para que se consiga o êxito nas
contratações de licenças de software. Os principais motivos que levam a demora da aquisição
de licenças de software na APF na visão de todos os participantes foram os mesmos explicados
na aquisição de ativos de rede, ou seja, são os trâmites burocráticos exigidos pela Instrução
Normativa no 4 de 2014 e pela lei no 8.666/93 de licitações e contratos.

50

Figura 3.8: Tempo médio gasto para aquisição de licenças de software na APF

Esses resultados também são muito preocupantes, pois existem situações onde as demandas por licenças de software na APF são estritamente urgentes e necessárias para o bom
andamento da prestação de serviços. Como exemplo os Gestores de TI citaram licenças de
softwares educacionais para laboratórios de informática e também licenças da suíte de escritório
para edição de documentos como textos, planilhas e apresentações eletrônicas. Eles também
salientaram que sem a aquisição dessas licenças de software fica praticamente impossível ou
inviável as prestações de serviços na APF.
Além das demandas por aquisições de ativos de rede e licenças de software sabe-se que
existem as demandas internas da própria APF para o desenvolvimento de sistemas e aplicações
de TI com o objetivo de atender com eficiência ao público em geral. Diante dessa situação foi
questionado aos participantes qual seria o tempo ideal para planejar e desenvolver esses sistemas
e aplicações de TI na APF. O gráfico da Figura 3.9 demonstra quanto tempo é levado em média
para o desenvolvimento dos sistemas e aplicações de TI.
Apenas um dos participantes respondeu que não é desenvolvido nenhum tipo de aplicação
de TI no local de trabalho, mas outros dois participantes apontaram como o tempo ideal para
o desenvolvimento de sistemas o prazo de seis a onze meses e mais outros dois participantes
responderam que o tempo ideal seria de doze a dezessete meses e, por último, um participante
respondeu que o tempo ideal seria de dezoito a vinte e quatro meses.
Nesses resultados percebe-se que, apesar da discordância entre os participantes em
relação ao tempo médio de desenvolvimento, existe uma forte evidência de que o prazo mínimo
para o desenvolvimento de qualquer tipo de aplicação ou sistema de TI para a APF seria de seis
meses a um ano. Questionados sobre qual seria o motivo que causa a demora no desenvolvimento
das aplicações de TI todos os Gestores foram unânimes em dizer que o principal motivo é
a falta de profissionais de TI para compor a equipe de desenvolvimento. Além disso eles
disseram que existe a questão da necessidade de capacitação para o desenvolvimento de algumas

51

Figura 3.9: Tempo médio gasto para o desenvolvimento de sistemas e aplicações de TI

demandas bem especificas. Esses detalhes de falta de profissionais e necessidade de capacitação
podem prejudicar o andamento da prestação de serviços de TI, causando um descontentamento
generalizado a população que é a principal consumidora desses sistemas.

3.0.5

Utilização da Infraestrutura de Datacenter no IFGOIANO

Na quarta e última seção buscou-se realizar um levantamento da infraestrutura de Datacenter em cada um dos cinco campus e reitoria do IF Goiano por meio das ferramentas explicadas
no Capítulo 3. Esse levantamento tem o objetivo de descrever a atual realidade da situação de
cada Datacenter, além de informar o percentual de utilização ou cargas de trabalho desses
Datacenters. Para uma melhor visualização da realidade de cada Datacenter a Tabela 3.1 ilustra
o resumo com a descrição dos servidores com suas respectivas configurações e quantidades. Para
manter o sigilo das informações a nomenclatura da reitoria está descrita na tabela como um
campus.
Campus
Campus A
Campus B
Campus C
Campus D
Campus E
Campus F

Servidores (Datacenter)
Dell PowerEdge R 710 com 24 GB RAM
Dell PowerEdge R 720 com 128 GB RAM
Dell PowerEdge T410 Xeon com 16 GB RAM
Dell PowerEdge T310 Xeon com 8 GB RAM
HP Proliant ML 150 Xeon com 12 GB RAM
Dell PowerEdge T420 Xeon com 24 GB RAM
Dell PowerEdge T420 com 24 GB RAM
Dell PowerEdge T 410 Xeon com 24 GB RAM
HP Proliant DL 360 Xeon com 16 GB RAM
IBM X3650 M3 com 32 GB RAM
Tabela 3.1: Descrição dos Datacenters

Quantidade
3
1
2
2
4
2
1
2
1
1

52
Esta tabela com a descrição dos servidores hospedados nos Datacenters dos campus do
IF Goiano demonstra que apesar de todos os campus fazerem parte da mesma instituição federal
de ensino existe uma enorme discrepância na forma de como esses recursos computacionais
de TI são adquiridos e distribuídos entre si. A pesquisa também levantou os dados referentes
a utilização desses equipamentos nos respectivos Datacenters. Para um melhor entendimento
o gráfico da Figura 3.10 demonstra o percentual de utilização ou cargas de trabalho nos
Datacenters de cada Campus.

Figura 3.10: Percentual de utilização cargas de trabalho nos Datacenters

Os campus A e F estão operando com o percentual de utilização entre 60% e 70%, o
que demonstra que está havendo um uso mais racional dos recursos de Datacenter, onde os
equipamentos trabalham sem a característica da ociosidade ou subutilização; o campus B está
trabalhando entre 50% a 59% da sua capacidade o que já caracteriza o inicio de uma possível
subutilização ou ociosidade dos equipamentos na maior parte do tempo; o Campus C está em
uma situação bem atípica em relação aos outros campus, pois a sua utilização está entre 20% a
29% e levanta uma forte evidência de que esse Datacenter está totalmente subutilizado com a
maioria de sua capacidade computacional ociosa para realizar outras tarefas; o Campus D está
operando acima dos 70% de sua capacidade, com a possibilidade de sobrecarga no Datacenter
podendo levar a interrupção dos serviços de TI em horários de picos; o Campus E opera entre
30% e 39%, o que indica também que os recursos de TI do Datacenter podem estar ociosos e
subutilizados na maior parte do tempo.
Outro fator que foi analisado nesta etapa da pesquisa foi em relação a qualidade do
gerenciamento e monitoramento destes Datacenters, onde foi questionado aos Gestores de TI
qual é o nível de controle que eles tem sobre o gerenciamento desses recursos de Datacenter.
O gráfico da Figura 3.11 ilustra o grau de controle dos Datacenters sob a administração dos

53
Gestores de TI.

Figura 3.11: Controle sobre o Gerenciamento dos Datacenters

A metade 50% disse que tem apenas o controle parcial sobre o gerenciamento de
seus Datacenters, onde a maioria dos serviços e aplicações de TI estão sendo gerenciados e
monitorados com algum tipo de ferramenta, mas eles deixaram bem claro que não tem o controle
sobre a totalidade de sua infraestrutura de TI. Já 16,7% responderam que não tem nenhum tipo
de ferramenta para fazer o gerenciamento e monitoramento de seus Datacenters. Outros 16,7%
não souberam responder até que grau de controle eles tem sob a sua infraestrutura de TI, pois
não utilizam nenhum tipo de ferramenta de monitoramento e o restante, com 16,7%, respondeu
que tem o controle total sobre os seus Datacenters, onde todos os serviços e aplicações de TI
estão sendo monitorados e gerenciados de alguma maneira.
Percebe-se diante destes resultados obtidos na Figura 3.11 que a grande maioria dos
Gestores de TI tem somente um controle parcial ou ainda nenhum tipo de controle sobre o
gerenciamento e monitoramento de seus Datacenters. Isso pode ser o principal fator que justifica
a falta de planejamento na hora de adquirir recursos como ativos de redes para os Datacenters,
com uma forte evidência de mal uso dos recursos computacionais demonstrados no gráfico de
percentual de utilização dos Datacenters com as cargas de trabalho da Figura 3.10.

3.0.6

Discussão dos Resultados

Na pesquisa foi identificado que o principal papel dos Gestores em TI foram o de
consultores, apresentado suas opiniões como profissionais atuantes da área de Gestão de TI.
Este foi um fator de sucesso para este trabalho porque nos ajudou a obter conselhos práticos
vivenciados no dia a dia destes profissionais que participaram ativamente de todas as etapas do
processo que discutiu as principais dificuldades encontradas na Gestão de TI da APF.
Na etapa de Governança de TI foi verificado que todos Gestores de TI executam várias
tarefas, além de planejar e gerenciar. Esta característica acaba impactando negativamente no
gerenciamento dos projetos de TI da APF, com frequentes ocorrências de atrasos na sua elaboração e execução. Segundo TRIPATHI; PARIHAR (2011); SMITHA; THOMAS; CHITHARAN-

54
JAN (2012) as arquiteturas em nuvem ajudam na implementação de políticas em Datacenters.
Estas políticas auxiliam na forma de gerenciar a infraestrutura de TI em questões que dizem
respeito a melhoria da segurança dos Datacenters e na redução do tempo para o desenvolvimento
e implantação de novas aplicações de TI, melhorando assim a eficiência administrativa.
Em relação a força de trabalho com profissionais de TI, o gráfico da Figura 3.5 demonstra
que a maioria dos Gestores de TI enfrentam dificuldades com a falta de Analistas e Técnicos
em TI para atenderem o mínimo das expectativas demandadas por serviços de TI na APF. Neste
cenário a Computação em Nuvem pode vir a contribuir com a solução de um sistema inteligente
completo, com a modernização e configuração de ambientes de TI totalmente automatizados,
diminuindo assim a dependência de pessoas envolvidas, reduzindo o custo com a necessidade de
recursos humanos (YEH et al., 2010).
Foi constatado que os principais impedimentos nas contratações de soluções de TI na
APF são as restrições orçamentárias causadas por cortes no orçamento público ao longo do ano e
o processo burocrático com a necessidade de cumprimento das normas impostas pela legislação
brasileira. De acordo com CELLARY; STRYKOWSKI (2009); YEH et al. (2010); SMITHA;
THOMAS; CHITHARANJAN (2012) os ambientes que possuem os sistemas hospedados em
arquiteturas de nuvem podem reduzir consideravelmente os custos com hardware, software,
eletricidade e recursos humanos, além de disponibilizarem uma excelente qualidade na prestação
dos serviços.
Os projetos que envolvem contratações de soluções de TI, como a aquisição de ativos de
redes e licenças de software ocorrem de uma forma muito lenta na APF. Em média demoram de
18 a 24 meses para sua finalização. Segundo RASTOGI (2010), na arquitetura em nuvem não
existe a necessidade de se comprar hardware, licenças de software ou implementação de serviços
de TI. A infraestrutura de Computação em Nuvem está disponível sob demanda, com soluções
que podem disponibilizar uma infraestrutura de TI como armazenamento e processamento, ou
ainda disponibilizar uma plataforma de desenvolvimento de software totalmente customizada.
Sobre a utilização da infraestrutura de Datacenter, foi verificado que, na maioria dos
campus, os recursos computacionais disponíveis estão subutilizados ou ociosos e, em apenas
um dos casos ocorre a sobrecarga de trabalho com a utilização acima dos 70%. Isso se deve
ao fato de não existir um balanceamento de cargas de trabalho entre os Datacenters. Para
ARMBRUST et al. (2009); BHISIKAR (2011); ANDRIKOPOULOS et al. (2013) a arquitetura
de Computação em Nuvem oferece o modelo de tarifação conhecido como pay-per-use ou pague
pelo uso. Esse modelo permite a utilização dos recursos computacionais de uma forma mais
racional, onde são dispensadas as compras de hardware, software e manutenção, e o pagamento
pela utilização dos recursos da nuvem será feito somente no que realmente foi utilizado.
No que diz respeito a forma de como é monitorada e gerenciada a infraestrutura de
Datacenter nos campus, a maioria dos Gestores de TI afirmou que tem apenas o controle parcial
sobre o monitoramento dos recursos computacionais de sua infraestrutura de TI. Para mitigar
esses problemas relacionados ao monitoramento e gerenciamento a arquitetura de Computação

3.1. RESUMO DO CAPÍTULO

55

em Nuvem pode oferecer a possibilidade de administração dos recursos computacionais de forma
centralizada através de um único ponto (e.g navegador de internet) e ainda sem nenhum tipo de
esforço por parte do usuário (MELL; GRANCE, 2011).
Diante destes resultados observou-se que existe uma grande carência por capacitação na
área de Governança de TI aos Gestores que atuam em algum cargo relevante de TI na APF, pois
foi verificado que existem grandes lacunas com algum tipo de deficiência na forma de gerir a
infraestrutura de TI em um mesmo órgão federal, onde alguns pecam pela sub-utilização dos
recursos e outros pela sobrecarga destes mesmos recursos de Datacenter.
Para concluir, nenhum dos 6 (seis) Gestores de TI soube informar com certeza absoluta
se a infraestrutura de TI existente em seu Campus seria capaz de suportar o sistema eletrônico
nacional PEN para colocá-lo em produção e todos foram unânimes em dizer que ainda não estão
preparados para projetar e/ou dimensionar a infraestrutura de TI apropriada para implantação do
sistema PEN.

3.1

Resumo do Capítulo

Este capítulo apresentou os principais resultados obtidos na pesquisa com a análise
detalhada de cada situação enfrentada pelos gestores de TI da APF nas contratações de soluções
de TI. Após a análise estatística dos dados foi realizada a discussão dos resultados, apresentando
uma síntese com as principais conclusões retiradas da pesquisa.
O próximo capítulo vai apresentar a proposta contendo o Catálogo de Boas Práticas a
serem seguidos pelos Gestores de TI nas contratações de serviços de Computação em Nuvem na
APF.

56

4
CATÁLOGO DE BOAS PRÁTICAS PARA
CONTRATAÇÕES DE COMPUTAÇÃO EM
NUVEM NA APF
Neste capítulo será apresentada a proposta do Catálogo de Boas Práticas a ser seguido
pelos Gestores de TI em contratações de serviços de Computação em Nuvem na APF. É importante salientar que esse plano é especifico para atender ao Decreto n° 8.539, de 8 de outubro de
2015, onde fica estabelecido um prazo de dois anos a partir da data do decreto para disponibilizar uma infraestrutura de TI adequada que atenda ao sistema do processo eletrônico nacional
(PEN)1 . Este Decreto tem o principal objetivo de promover a utilização de meios eletrônicos
para a realização dos processos administrativos com segurança, transparência e economicidade e
também para facilitar o acesso do cidadão às instâncias administrativas.
O que motivou a elaboração deste Catálogo de Boas Práticas foi a dificuldade encontrada
pelos Gestores de TI no que diz respeito ao prazo para execução de novas soluções de TI para
atender a urgente demanda de infraestrutura de TI para implantação do sistema PEN na APF. Na
pesquisa constatou-se que existe uma grande dificuldade em adquirir novas soluções de TI devido
as dificuldades orçamentárias e aos entraves burocráticos exigidos pela Instrução Normativa no
4 de 2014 e pela lei no 8.666/93 de licitações e contratos, além do tempo que é tomado para a
execução dos projetos quando aprovados.

4.1

Contratação de Serviços de Redes de Telecomunicações
na APF

Antes da construir o Catálogo de Boas Práticas, foi realizada uma consulta ao modelo
proposto pela Estratégia Geral de Tecnologia da Informação (EGTI)2 do Governo Federal, onde
os serviços de Computação em Nuvem devem obrigatoriamente estar alinhados ao Decreto no
1 https://processoeletronico.gov.br/
2 http://www.sisp.gov.br/egtic/wiki/download/file/EGTIC

4.1. CONTRATAÇÃO DE SERVIÇOS DE REDES DE TELECOMUNICAÇÕES NA APF57
8.135, de 4 de novembro de 2013 e a Portaria Interministerial no 141, de 5 de maio de 2014.
Como forma de facilitar o acesso a todas as leis, decretos e Instruções Normativas do Governo
Federal referentes ao assunto de Computação em Nuvem, será disponibilizado um acervo de
documentos digitais para consulta em um repositório do Github (GITHUB, 2016).
O artigo 1o do Decreto no 8.135, de 4 de novembro de 2013, afirma que a prestação
de serviços para as demandas por armazenamento e recuperação de dados na APF se darão da
seguinte maneira:
"As comunicações de dados da administração pública federal direta,
autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou
entidades da administração pública federal, incluindo empresas públicas e
sociedades de economia mista da União e suas subsidiárias."
Esse artigo deixa claro que, a priori, as demandas por recursos de armazenamento e
recuperação de dados teriam que ser atendidas por uma infraestrutura de TI fornecida pelos
próprios órgãos que fazem parte da APF. Entretanto não foi contemplado os casos que seriam
omissos ou tratados como uma exceção, onde podemos utilizar como exemplo a situação em
que os próprios órgãos não fossem capazes de suprir suas demandas mais urgentes com uma
infraestrutura de TI apropriada.
No ano de 2014 foram realizadas várias reuniões com os diretores de TI de diversas
instituições federais de ensino para discutir sobre o vazamento de informações publicadas
pelo administrador de sistemas Edward Snowden. O principal assunto discutido foi sobre a
implantação do projeto Expresso, que trata sobre a disponibilização do serviço de correio
eletrônico e-mail contratando o órgão público responsável pelo processamento de dados da
APF conhecido como SERPRO3 . Entretanto este projeto foi abordado logo de inicio, pois nas
primeiras reuniões ficou constatado que o SERPRO não atenderia nem 20% dos órgãos públicos,
e que esta solução seria três vezes mais cara que as soluções de e-mail existentes no mercado.
Como forma de complementar o Decreto no 8.135, foi publicada a Portaria Interministerial no 141, de 5 de maio de 2014, que surgiu para regulamentar a forma de prestação de
serviços de comunicações de dados na APF. Esta portaria, em seu Capítulo III, que trata sobre o
procedimento de contratação de serviços, mais especificamente na Seção II, em seu artigo 7o
afirma que:
"Nos casos em que não houver oferta da prestação de serviços por órgãos
ou entidades fornecedores, é permitida a contratação de serviços de redes
de telecomunicações ou de tecnologia da informação junto a fornecedores
privados."

3 https://www.serpro.gov.br/home

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF

58

É no artigo 7o que é justificada a permissão na contratação de serviços de telecomunicações por fornecedores e empresas privadas. O artigo deixa evidente que nos casos em que os
órgãos da APF não forem capazes de ofertarem a prestação de serviços de redes de telecomunicações ou de tecnologia da informação, estes mesmos serviços poderão ser contratados junto a
empresas e fornecedores privados.
A partir da realização dos estudos e consultas a essas leis, instruções normativas, e
portarias que regem os serviços de redes de telecomunicações na APF, é que foi tomada a decisão
de elaborar o Catálogo de Boas Práticas para adoção da Computação em Nuvem como forma
de prover uma infraestrutura de TI adequada para implantação do sistema de processo eletrônico
nacional PEN aos órgãos da APF.

4.2

Metas para Adoção de Computação em Nuvem na APF

Para elaborar as metas a serem atingidas no Catálogo de Boas Práticas foi necessário,
em um primeiro momento, identificar em qual nível do planejamento estratégico da APF seria
realmente necessário atuar para que a adoção de práticas de Computação em Nuvem ocorra com
sucesso. A Figura 4.1 demonstra a relação entre o planejamento estratégico e o PDTI de um
órgão da APF.

Figura 4.1: Relação entre Planejamento Estratégico e PDTI (Modificado pelo autor)

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF

59

O Plano Diretor de Tecnologia da Informação (PDTI) é o principal responsável por
fazer o alinhamento entre as estratégias de negócio de uma organização e os recursos de TI.
Essa integração é que habilita a TI a apoiar as estratégias organizacionais mais efetivamente,
permitindo que a TI formule suas estratégias, organize seus processos e, consequentemente,
determine os investimentos e recursos humanos em TI orientados sempre pela estratégia de
negócios.
O nível estratégico já é bem definido pela alta direção e, na maioria das vezes, vem
apenas como um "cumpra-se" para a equipe de planejamento tático de TI, portanto a tomada
de decisões desse nível vem sempre da cúpula composta pela alta direção. Já o nível tático é o
responsável por elaborar, gerenciar e fornecer os subsídios necessários para a concretização das
demandas advindas da estratégia do negócio.
O nível operacional é o que vai ficar responsável por cumprir e executar os planos de
ações elaborados pelos envolvidos no nível de planejamento tático de TI. Como ainda não
existem métodos específicos para a adoção de práticas de Computação em Nuvem na APF, é
justamente no nível tático que será elaborado o Catálogo de Boas Práticas para o uso desse novo
modelo de Computação, que poderá permitir a utilização de uma infraestrutura de TI escalável
e eficiente para a implantação do sistema PEN nos órgãos da APF. A Tabela 4.1 demonstra de
forma resumida quais são as metas a serem alcançadas neste trabalho, com a elaboração de um
catálogo.
Metas para adoção de Computação em Nuvem na APF
Catálogo de Boas Práticas
Atribuir normas que abordem a utilização de Computação em Nuvem
Gerenciar riscos de Governança e
para APF e avaliar os riscos de utilização de provedores de Nuvem
questões legais em Computação em Nuvem
para proteger dados confidenciais
Avaliar a arquitetura de Datacenter nos provedores de Nuvem fundamentando
Controle de Operações em Datacenters e
principalmente na continuidade do negócio e em possíveis recuperações de
Recuperação de Desastres
desastres para a estabilidade a longo prazo
Monitoramento dos recursos computacionais
Elaborar os critérios de gerenciamento e utilização dos recursos computacionais
e notificações de incidentes
nos provedores de Nuvem com a detecção e notificação dos incidentes
Atribuir forma de bilhetagem básica contemplando Desenvolver uma equação para bilhetagem básica que forneça o mapeamento
a utilização de um domínio/conta
entre os recursos utilizados e o gasto em Real (R$)
Metas

Tabela 4.1: Metas para adoção de Computação em Nuvem na APF

A Governança de TI na APF baseia-se em um conjunto de leis, políticas e tecnologias
que direcionam a forma de administrar os recursos de TI que serão utilizados para suprir uma
determinada demanda advinda da administração. Uma boa Governança baseia-se na aceitação e
cumprimento dessas normas com processos de segurança da informação bem projetados para
alcançar o objetivo de um negócio sustentável, escalável e principalmente com investimentos de
baixo custo.
O modelo de oferta de serviços de Computação em Nuvem na APF terá que estar em
conformidade com as principais legislações que regem este assunto, que são o Decreto no 8.135,
de 4 de novembro de 2013, a Portaria Interministerial no 141, de 5 de maio de 2014, e a Norma
Complementar no 14/IN01/DSIC/GSIPR, de 3 de janeiro de 2012, que diz respeito as diretrizes

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF

60

relacionadas à segurança da informação e comunicações para o uso de Computação em Nuvem
nos órgãos e entidades da APF (EGTIC, 2014).
Para elaborar o Catálogo de Boas Práticas na contratação de serviços de Computação
em Nuvem na APF foi necessário identificar os principais fatores relevantes para a estratégia
de negócio e que foram incluídos na legislação definida pela (EGTIC, 2014) para que, partindo
desses critérios, fosse elaborado o catálogo para a adoção de práticas de Computação em Nuvem
em órgãos da APF. Os principais critérios abordados para o modelo de Computação em Nuvem
podem ser elencados da seguinte maneira:           

Os equipamentos e programas utilizados em serviços de Computação em Nuvem
terão que ter obrigatoriamente características técnicas que permitam a auditoria para
garantir a autenticidade, confidencialidade e integridade dos dados e informações.
Os Datacenters responsáveis pela infraestrutura de Nuvem terão que estar hospedados
ou possuir um site de backup preferencialmente em território Brasileiro.
Disponibilização de ferramentas que garantam a prevenção de ataques, detecção de
intrusão e códigos maliciosos ao acesso dos serviços que utilizam a Internet.
Disponibilização de ferramenta que garanta o controle de acesso e gerenciamento de
identidade dos usuários.
Fornecimento de ferramentas gerenciais para o monitoramento do tráfego da rede e
uso dos recursos computacionais.
Adoção de padrões de interoperabilidade do Governo Eletrônico definidos pela APF
disponíveis na arquitetura e-PING4 .
Aplicação de penalidades e multas em caso de descumprimento das normas de
incidentes de segurança que vierem a ocorrer de forma intencional, ou ainda por
omissão.
Disponibilização de ferramentas e tecnologias necessárias para migração de ambiente
dos serviços e aplicações hospedados em provedores de Nuvem.
Garantia de acesso e disponibilidade dos dados e informações somente a pessoas
estritamente autorizadas.
Definição de níveis de acordo de serviços SLAs que garantam a disponibilidade dos
serviços essenciais, com a aplicação de multas em caso de descumprimento.
Desenvolvimento de uma equação de bilhetagem básica que contemple o mapeamento
entre o uso e Real(R$).

4 http://eping.governoeletronico.gov.br/

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF

61

Esses são os principais itens a serem observados e que estão intrinsecamente relacionados
ao gerenciamento dos riscos de Governança e Segurança de Informação nos casos de contratações
de serviços de Computação em Nuvem na APF. Como forma de satisfazer os requisitos funcionais referentes a estes itens será apresentado um Catálogo de Boas Práticas para adoção da
Computação em Nuvem na APF.
De acordo com o padrão ISO/IEC 20000-2:2012 ISO/IEC (2012) é de extrema importância que seja elaborado um guia de diretrizes contendo as orientações para a aplicação de um
sistema de gerenciamento de serviços. Para satisfazer aos padrões de qualidade propostos neste
trabalho e também para facilitar o entendimento por parte dos Gestores de TI que vão estar
diretamente envolvidos na implantação do sistema PEN, será apresentado um quadro com as
principais diretrizes a serem seguidas nas contratações de serviços de Computação em Nuvem na
APF. A Figura 4.2 aborda o quadro com os principais assuntos que serão tratados no Catálogo
de Boas Práticas.

Figura 4.2: Orientações da aplicabilidade do Catálogo de Boas Práticas

No catálogo serão detalhados itens como Governança, Segurança da Informação, Níveis
de Acordo de Serviço (SLAs), Bilhetagem, além do Gerenciamento e Monitoramento dos
recursos computacionais. A Figura 4.2 demonstra exatamente o guia de orientações com as
etapas a serem cumpridas pelos Gestores de TI em contratações de serviços de Computação em
Nuvem na APF.

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
62

4.3

Boas Práticas de Governança e Segurança da Informação
para contratação de serviços de Computação em Nuvem
na APF

A principal intenção na construção deste catálogo foi a de disponibilizar o passo a
passo das principais diretrizes a serem seguidas em contratações de serviços de Computação em
Nuvem para atender as demandas do sistema PEN na APF, de uma forma mais simples, prática e
funcional.
Como forma de garantir a autenticidade, confidencialidade e integridade, com a auditoria
dos equipamentos e programas utilizados na Computação em Nuvem, é estritamente necessário
que o provedor de Nuvem cumpra os requisitos de qualidade com a comprovação de capacidade
técnica apresentando as seguintes certificações:    

ISO 27001: Esta norma é o padrão de referência internacional para critérios relacionados a Segurança da Informação em TI. O seu principal objetivo é a contribuição
para um conjunto de requisitos, processo e controles para mitigar de forma adequada
os riscos de segurança em uma organização (ISO/IEC, 2013).
TIER 2: O TIER 2 é um padrão de classificação responsável por descrever os
requisitos mínimos necessários em uma infraestrutura de Datacenter. A principal
característica do TIER 2 é que os equipamentos do Datacenter e da operadora de
Telecomunicações devem ter módulos redundantes com mínimo de N+1 (como fontes
de energia, placas, processadores, UPS, geradores de energia, ar-condicionados,
uplinks de acesso, entre outros) (FURUKAWA, 2016).
SOC 2: O SOC 2 é uma norma que estabelece o padrão de controles para proteger
a confidencialidade e privacidade das informações armazenadas em provedores de
serviços em Nuvem. A auditoria SOC 2 avalia a eficiência dos provedores de Nuvem
com base nos princípios e critérios dos serviços confiáveis do Instituto Americano de
Contas de Certificados Públicos (AICPA) (MICROSOFT, 2016).
ISO 9001: A ISO 9001 é um sistema de gestão de qualidade que tem o propósito de
desenvolver padrões de "melhoria contínua" para serem utilizadas em todos os países
do mundo. Seu principal objetivo é manter um portfólio de serviços que permitam
uma constante melhoria de desempenho devido a sua implementação (ISO/IEC,
2008).

Para atender aos itens de prevenção de ataques e detecção de intrusão, o provedor de
serviços em Nuvem terá que disponibilizar um serviço de firewall dedicado com acesso remoto
ao ambiente hospedado através de uma rede virtual privada VPN (Virtual Private Network)

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
63
que suporte os protocolos IPsec ou L2TP do tipo site-to-site, utilizando os protocolos SSH ou
RDP (Remote Desktop Connection) para estabelecimento da conexão. Além deste detalhe o
provedor terá que agregar funcionalidades com maiores níveis de segurança da informação ao
ambiente como, por exemplo, o serviço WAF (Web Application Firewall), que é um firewall de
aplicação que protegerá as soluções disponibilizadas na internet contra ataques de usuários mal
intencionados.
O serviço de firewall ainda terá que detectar minimamente as seguintes classes de ataques: 

Violações do protocolo HTTP; 

SQL Injection; 

Cross-Site Scripting (XSS); 

Buffer Overflow; 

OS Command Execution; 

Remote Code Inclusion; 

Server Side Includes (SSI) Injection; 

Scanners de vulnerabilidade Web e Crawlers; 

Worms e Web Shell Backdoors; 

Denial of Service Attack (DDOS);

Em relação ao serviço de controle de acesso e gerenciamento de identidades, o provedor
de serviços em Nuvem terá que se responsabilizar em desenvolver uma interface baseada
em WEB que suporte a relação entre domínios confiáveis da APF utilizando o SAML 2.0
(Security Assertion Markup Language 2.0) integrado ao provedor da Rede Nacional de Ensino
e Pesquisa (RNP), disponibilizando o serviço de autenticação pela Comunidade Acadêmica
Federada - CAFe5 para prover uma camada de identidade federada, que terá como base de dados
a matricula única dos servidores públicos federais pertencentes a APF.
Outro fator importante para o guia de recomendações é definir os critérios e responsabilidades a serem cumpridos por parte do provedor de serviços em Nuvem em relação às
características das ferramentas de Gestão de infraestrutura de Datacenter que será disponibilizada aos diversos órgãos da APF. Para garantir a qualidade da gestão da infraestrutura em
Nuvem, o provedor será obrigado a cumprir aos seguintes requisitos técnicos: 

Ambiente de Hypervisors configurados para suportar a integração de vários clusters
em um Datacenter com suporte a atualizações;

5 https://portal.rnp.br/web/servicos/cafe

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
64 
Integração do ambiente de Hypervisors com os Storages de armazenamento através
de switchs core com a tecnologia Fibre Channel;        

Configuração de pools de recursos computacionais baseados nas características
técnicas de cada aplicação;
Fornecimento de cópia de segurança com capacidade de clonagem de máquinas
virtuais (VMs);
Fornecimento de serviço de backup e restauração integral da solução podendo ser
acionado a qualquer tempo;
Permitir o acesso simultâneo para, no mínimo, dez (10) usuários;
Criação de grupos de VMs, de VMs a partir de templates, de clonagem, destruição e
alteração do nome da VM;
Disponilizar software de conversão de servidores físicos para servidores virtuais
"Physical to Virtual" (P2V);
Configuração do ambiente virtualizado para que seja disponibilizado os recursos de
tolerância a falhas e alta disponibilidade nos serviços de aplicações críticas;
Configuração e alteração das características de hardware, como quantidades de
processadores, memória RAM e de armazenamento, com o ambiente em produção; 

Criação, destruição e alteração de Redes Virtuais (VLANs); 

Migração de VMs entre VLANs; 

Operações de power (poweron, poweroff, reset, reboot) nas VMs;    

Monitoramento do processamento, memória, armazenamento, latência e tráfego de
entrada e saída por VM, feito através de ferramenta disponibilizada pelo provedor de
Nuvem;
Registro das operações (logs de auditoria) efetuadas nos servidores e no ambiente
virtual;
Definição de regras de balanceamento de carga entre os servidores virtuais;
Configuração e integração de um site backup para casos extremos de recuperação de
desastres;

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
65
Os provedores de serviços em Nuvem terão que se adequarem aos padrões de interoperabilidade que são definidos por um conjunto de premissas e especificações técnicas do
Governo Eletrônico (EPING, 2016), desenvolvendo e mantendo as ontologias e outros recursos
de organização da informação necessários, visando facilitar o cruzamento de dados de diferentes
fontes de informação, quando da sua utilização por outras organizações integrantes da APF, por
organizações da sociedade civil ou pelo cidadão.
Para conseguir aplicar os critérios de segurança com os níveis de acesso aos dados e
informações hospedados em provedores de serviços em Nuvem serão estabelecidas normas
baseadas no ciclo de vida de segurança dos dados, para que a partir daí, sejam concedidas
as permissões necessárias que serão atribuídas pelas regras de negócio estabelecidas pela alta
direção dos órgãos da APF. A Figura 4.3 demonstra quais são as fases propostas para o ciclo de
vida dos dados.

Figura 4.3: Modelo de Ciclo de vida dos Dados - (Modificado pelo autor)    

Create: Essa fase é responsável pela geração e atualização de novos arquivos digitais.
Store: Essa fase acontece logo após a Create com o objetivo de armazenar os arquivos
digitais em algum tipo de repositório.
Use: Aqui os dados poderão ser visualizados, processados ou utilizados por algum
tipo de aplicação.
Share: Essa fase é responsável por permitir o compartilhamento dos dados entre os
usuários, clientes, ou parceiros.

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
66 
Archive: Nessa fase os dados que não necessitam ser mais acessados poderão passar
para o armazenamento a longo prazo. 

Destroy: Nessa fase os dados são permanente destruídos utilizando de algum meio
físico ou digital.

Depois de descritas as fases do clico de vida de segurança dos dados, as permissões
serão concedidas de acordo com o perfil de cada usuário, podendo ser atribuída uma ou várias
permissões ao mesmo usuário. A Tabela 4.2 demonstra um exemplo dos níveis de permissões de
acesso que podem ser atribuídas a cada usuário.
Create

Store

Use

Share

Archive

Destroy

Usuário A
Usuário B
Usuário C
Usuário D
Tabela 4.2: Perfil de Acesso do Usuário aos dados armazenados em Nuvem

Os provedores de serviços em Nuvem terão que aplicar esse modelo de atribuições de
perfis de acesso aos dados de acordo com a política de segurança proposto por cada órgão da
APF, com a possibilidade de autorização ou revogação de novas solicitações de acordo com as
demandas originadas pela alta direção.

4.3.1

Boas Práticas para os Contratos de Níveis de Acordo de Serviço SLAs em Provedores de Nuvem

A proposta deste catálogo consiste em estabelecer os parâmetros com as métricas
necessárias para que os níveis de acordo de serviço (SLAs) dos serviços hospedados em provedores de Nuvem garantam a qualidade no fornecimento dos serviços que serão utilizados pelo
sistema PEN na APF. A disponibilidade do serviço será calculada para o período de um mês e o
descumprimento dos SLAs por parte dos provedores serão punidos com créditos de serviço na
fatura mensal.
Como o SLA vai ser calculado pelo período de disponibilidade mensal é de suma
importância saber quais são os critérios que afetam diretamente a entrega destes serviços por
parte do provedor de serviços em Nuvem. A equação para saber a porcentagem de disponibilidade
mensal seguirá os seguintes critérios:
T D = [(Tod − Tid)x100]/Tod
Onde:
TD = Disponibilidade Mensal (%);
Tod = Período total de operação em um mês (minutos);

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
67
Tid = Período de indisponibilidade em um mês (minutos);
Para atender minimamente os padrões de qualidade exigidos na prestação de serviços
para implantação do sistema PEN na APF, o provedor de serviços em Nuvem terá que se
responsabilizar em atender aos seguintes critérios de qualidade:         

Deverá possuir o SLA (Service Level Agreement), de no mínimo de 99,8% ao mês
para a disponibilidade da solução ofertada, comprovada via relatório mensal;
O tempo de indisponibilidade será contado a partir da abertura do chamado, até o
encerramento do chamado pelo órgão da APF;
A latência máxima admitida pela APF no serviço de comunicação de dados ponto-aponto será de 50 ms (cinquenta milissegundos);
O máximo de perda de pacotes admitido pela APF para o serviço de comunicação de
dados ponto-a-ponto será de 0,5% (zero vírgula cinco por cento);
Deverá apresentar mensalmente um relatório apresentando o consumo, utilização e
período de indisponibilidade do ambiente (downtime);
Deverá efetuar manutenção preventiva de acordo com as recomendações dos fabricantes e critérios prescritos pelo órgão da APF, destinado a reduzir a probabilidade
de falha ou a degradação do funcionamento da solução;
O atendimento à abertura de chamados técnicos deverá ser do tipo On-Site contemplando as 24 horas nos 7 dias da semana (24x7);
Deverá disponibilizar documentação relativa à utilização da solução, bem como área
de Frequently Asked Questions (FAQ) para esclarecimento de dúvidas em regime
de self- service;
Deverá ser responsável por efetuar as atividades de integração das soluções em
Nuvem com o ambiente operacional dos órgãos da APF;

A forma de atribuir as penalidades ao provedor de serviços em Nuvem será estabelecida
com base em parâmetros mínimos de qualidade no atendimento do serviço em relação a porcentagem de disponibilidade mensal. Neste caso serão estabelecidos valores que serão revertidos
em créditos na moeda corrente, com base no Real (R$) para o cálculo, na conta de pagamento do
órgão que está utilizando o serviço prestado pelo provedor de Nuvem. Com isto espera-se uma
boa qualidade na prestação de serviços, ou ainda um crédito na conta, caso os critérios do SLAs
não sejam cumpridos de acordo com o contrato. A Tabela 4.3 demonstra os níveis aceitáveis
para o sistema PEN com as porcentagens de disponibilidade mensal e os créditos nas contas caso
o acordo não seja cumprido.

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
68
Porcentagem de Funcionamento Mensal Crédito de Serviço
99,00%<=pfm<99,8%
15%
<98,9%
25%
Tabela 4.3: Porcentagem de crédito de serviço na fatura mensal

Os níveis de porcentagem de funcionamento mensal que ficarem entre 99,00% e 99,8%
terão um crédito de serviço de 15% na conta do órgão que estiver utilizando o serviço em Nuvem
e os que estiverem abaixo de 98,9% terão um crédito ainda maior no valor de 25% na conta para
amenizar os prejuízos de tempo de indisponibilidade mensal do serviço.
Os critérios estabelecidos pelos SLAs são uma forma de garantir a qualidade nos serviços
prestados pelos provedores de Nuvem com o funcionamento de pelo menos 99,8% do tempo de
disponibilidade mensal e ainda estabelecer uma recompensa na forma de crédito em Reais (R$)
caso os níveis de acordo de serviço não sejam atendidos de acordo com o contrato estabelecido
para os serviços do sistema PEN.
Outro fator importante que será observado neste guia é quanto a abertura dos chamados
técnicos e os níveis de severidade nos casos de necessidade de utilização desses serviços. O
provedor de Nuvem terá que disponibilizar uma aplicação através de um portal WEB contendo
as seguintes informações: "Número", "Data e Hora da Abertura", "Status" (aberto/fechado),
"Responsável pela Abertura", "Técnico Encarregado do Atendimento", "Descrição do Problema",
"Histórico" (data/hora e descrição), "Ocorrências" (data/hora e descrição), “Nível de Severidade”
(baixo, médio, alto e crítico) e deverão ser de uso único e exclusivo dos órgãos da APF.
Em relação aos níveis de severidade, os chamados deverão ser classificados de acordo
com as seguintes categorias:
Nível de Severidade
1

Crítico

2

Alto

3

Médio

4

Baixo

Descrição do Problema
Erro ou problema com impacto crítico no negócio, causando
riscos financeiros, regulatórios, de produtividade, de segurança
ou de reputação. Impossibilidade de uso do sistema
(ex.: perda total de conectividade e/ou funcionalidade, travamento).
Erro ou problema sensível em termos de tempo, que afeta o
negócio significativamente, mas não impede o uso da solução
(ex.: perda parcial de conectividade e/ou funcionalidade).
Funcionalidades / serviços essenciais comprometidos,
mas com solução de contorno.
Perda parcial ou limitada de funcionalidade não-crítica, com os
serviços fundamentais disponíveis (ainda que por solução de contorno).
Problema ou inconsistência que não interfere diretamente nas tarefas
diárias.
Erro, problema ou dúvidas com impacto mínimo no negócio.

Tabela 4.4: Níveis de Severidade para chamados técnicos

Depois de definidos os níveis de severidade, os provedores de serviços em Nuvem terão
os seguintes prazos para apresentarem a solução definitiva dos problemas apresentados:

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
69
Prazo de solução definitiva
Crítico
Alto
Médio
Baixo
1 (uma) hora corrida 2 (duas) horas corridas 4 (quatro) horas corridas 2 (dois) dias úteis
Tabela 4.5: Prazos para solução definitiva

Com as atribuições e escopo bem definidos em relação aos SLAs que serão cobrados aos
provedores de serviços em Nuvem espera-se obter o nível de porcentagem de disponibilidade
mensal de pelo menos 99,8%, além dos atendimentos de chamados técnicos dentro dos prazos
desejáveis conforme descrito na Tabela 4.5.

4.3.2

Boas Práticas para o Cálculo da Bilhetagem Básica na Tarifação da
Computação em Nuvem

Como o foco deste trabalho não é definir qual será a forma de tarifação ou ainda a
aplicação que será utilizada para medir e cobrar pelo uso dos recursos computacionais hospedados
em Nuvem, optou-se então por definir quais são as métricas mais importantes a serem analisadas
para a formulação de uma equação de bilhetagem básica das máquinas virtuais em um ambiente
de Computação em Nuvem.
De acordo com MELL; GRANCE (2011) uma das principais características da Computação em Nuvem é justamente pagar somente por aquilo que foi utilizado, então para a
construção da equação de bilhetagem serão analisados itens como: 

Memória (mem); 

Processamento (cpu); 

Disco (disk); 

Tempo (time); 

Custo (rate); 

Consumo (sum);

A equação para bilhetagem básica consiste em coletar os dados relativos a quantidade
de utilização de memória, processamento e uso de disco em uma máquina virtual e atribuir um
valor de custo fixo por utilização, para então conseguir extrair o valor total de utilização fixado
em Reais (R$) de um determinado período. O método que foi utilizado para elaboração desta
equação foi baseado no trabalho de SILVA (2013), devido ao fato de demonstrar uma forma
simples de calcular a bilhetagem para ambientes de Computação em Nuvem. Após a definição
dos principais parâmetros, a equação de bilhetagem pode ser demonstrada da seguinte maneira:

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
70
dec {cpu_sum, cpu_rate, mem_sum, mem_rate, disk_sum, disk_rate, used_time } in
calc {fixed_cpu_sum = 100, fixed_mem_sum = 100, fixed_disk_sum = 100,
fixed_time = 3600} in
total
{cpu_rate/((fixed_cpu_sum/cpu_sum)*(fixed_time/used_time)) +
mem_rate/((fixed_mem_sum/mem_sum)*(fixed_time/used_time)) +
disk_rate/((fixed_disk_sum/disk_sum)*(fixed_time/used_time))}
Nesta equação são atribuídos percentuais fixos de (100%) para o consumo de processamento, memória e disco, em um período de tempo fixo de utilização de uma hora (3600s),
para que a partir daí seja calculado o custo efetivo de utilização nesse período, bastando apenas
atribuir um valor em Reais (R$) ao custo fixo de utilização (rate) em cada um dos itens (cpu,
mem, disk).
A utilização desta equação pode oferecer de uma forma mais detalhada a relação entre o
consumo dos recursos de Computação em Nuvem de um domínio/conta e o custo da utilização
desses recursos com o valor cotado em Reais (R$). Através de uma planilha de custos mais bem
elaborada a APF poderá bloquear novas demandas baseadas em um orçamento anual pré-definido,
ou seja, ao atingir 100% dos recursos financeiros, emitir alerta por e-mail para o administrador
do domínio/conta de consumo do orçamento, ou ainda quando o consumo estiver entre 80% e
90%, emitir relatório mensal contendo os gastos e disponibilizando a fatura para o pagamento do
serviço.
O objetivo desta equação é justamente simplificar a forma de calcular o preço a ser pago
pelos recursos computacionais em Nuvem, baseando-se apenas na utilização de cpu, memória
e disco. A próxima seção irá demonstrar os critérios de como essas 3 (três) métricas irão ser
monitoradas pelos provedores de Nuvem.

4.3.3

Boas Práticas para o Gerenciamento e Monitoramento dos Recursos
Computacionais na Computação em Nuvem

A proposta do catálogo com as recomendações para parte de monitoramento consistirá
em estabelecer quais métricas serão monitoradas para os serviços e aplicações hospedadas
em provedores de serviços de Nuvem para o sistema PEN, além de estabelecer uma forma de
gerenciamento centralizado, através de uma interface WEB, com o fornecimento de dashboards
para realizar o monitoramento dos recursos computacionais de forma automatizada. Como
proposta para o sistema de processo eletrônico PEN serão observados os seguintes recursos e
métricas: 

Monitoramento e armazenamento de Logs: Neste item os provedores de Nuvem
serão responsáveis por monitorar e coletar os dados de logs de aplicações e máquinas
virtuais com os respectivos sistemas operacionais que hospedam o sistema PEN,

4.3. BOAS PRÁTICAS DE GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO PARA
CONTRATAÇÃO DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM NA APF
71
todos em tempo real. Esses logs servirão para a tomada de decisões em caso de
necessidade de solucionar problemas, como a necessidade de aumentar ou diminuir
os recursos computacionais dos sistemas e aplicações que fazem parte do sistema
PEN.  

Monitoramento dos recursos de máquinas virtuais: Aqui os provedores de Nuvem serão responsáveis por monitorar as métricas como: uso de disco de instância
da máquina virtual, utilização de processamento CPU e memória RAM, além
do volume de transferência de dados utilizados nos serviços de armazenamento e
máquinas virtuais que hospedam o sistema PEN. O acompanhamento em tempo real
dessas métricas serão importantes para a tomada de ações que serão definidas com os
alertas a serem customizados nos serviços de gerenciamento e monitoramento.
Definição de alertas: Nesta parte os provedores de Nuvem serão responsáveis por
tomar ações baseadas em critérios pré-definidos de acordo com os alertas originados
de qualquer uma das métricas especificadas para as máquinas virtuais, com a intenção
de enviar informações ao e-mail dos administradores de rede, ou ainda dar o start de
tarefas automatizadas. Para o sistema PEN serão atribuídos os critérios da Tabela 4.6
para a realização de tarefas automatizadas. Estes alertas também serão enviados
automaticamente aos e-mails dos responsáveis de TI do órgão da APF para análise e
tomada de decisões em projetos futuros.
Porcentagem de utilização
>= 90% CPU
>= 90% Mémoria RAM
>= 85% Armazenamento

Ação a ser tomada
Incrementar 15% da capacidade atual
Incrementar 20% da capacidade atual
Incrementar 15% da capacidade atual

Tabela 4.6: Definição de alertas e ações no gerenciamento de recursos

Os alertas serão os responsáveis por dar o start na automatização dos recursos
computacionais em provedores de Nuvem de acordo com a porcentagem de utilização.
Para atender ao sistema PEN será realizado o incremento de processamento CPU em
15%, quando a porcentagem de utilização estiver maior ou igual a 90%, aumento de
20% na memória RAM, quando a sua capacidade estiver maior ou igual a 90%, e por
último haverá um incremento no armazenamento de 15%, quando a sua capacidade
atual estiver maior ou igual a 85%. 

Visualização de Gráficos e Estatísticas: Neste o item os provedores de serviços
em Nuvem ficarão responsáveis por fornecer uma aplicação baseada em WEB para
fornecer os painéis ou dashboards, que permitirão a criação de gráficos reutilizáveis
com os recursos e métricas personalizados nas etapas de monitoramento dos recursos
computacionais em Nuvem. Estes gráficos vão disponibilizar em tempo real o status

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
72
operacional dos serviços e aplicações, além de identificar os problemas de forma
bastante ágil. Para o sistema PEN os dados das métricas serão mantidos por um
período de um mês, possibilitando a visualização através de um relatório todos os
dados e históricos de alteração daquele período.
O monitoramento e gerenciamento são um dos principais assuntos a serem tratados
quando existem grandes infraestruturas de Datacenters e não poderia ser diferente em ambientes
de Computação em Nuvem. Com a proposta deste catálogo espera-se monitorar os principais
recursos de TI que forem utilizados pelo sistema PEN de uma forma bem detalhada, com a
possibilidade de tomadas de decisões mais bem sucedidas e que estejam focadas principalmente
nos problemas evidenciados nas métricas de monitoramento.
O Catálogo de Boas Práticas se finaliza com esta seção de monitoramento e gerenciamento dos serviços de Computação em Nuvem que fazem parte da proposta de implantação do
sistema PEN nos órgãos da APF. A próxima seção vai fazer uma análise comparativa do escopo
de abrangência do catálogo com alguns editais de contratações de Computação em Nuvem em
órgãos públicos.

4.4

Análise Comparativa do Catálogo de Boas Práticas com
Contratações de Computação em Nuvem em Órgãos Públicos

Nesta seção foi realizada a busca de editais que contenham termos de referência de
contratações de serviços de Computação em Nuvem. A busca foi realizada por meio do portal de
compras do Governo Federal conhecido como Comprasnet6 . Nessa busca foram escolhidos os
três órgãos públicos que vão fazer parte da análise comparativa com o catálogo proposto.
Como forma de validar a capacidade técnica proposta no Catálogo de Boas Práticas
será demonstrada uma tabela com a análise comparativa do catálogo com os três editais de
contratação de serviços de Computação em Nuvem em órgãos públicos. Os itens que foram
analisados são descritos como uma síntese dos critérios técnicos encontrados no termo de
referência de cada um desses editais. Os editais de contratações foram postados no repositório
digital do GITHUB (2016) e fazem parte dos seguintes órgãos públicos: 

USP - Universidade de São Paulo 

PGR - Procuradoria Geral da República 

FINEP - Empresa Pública Financiadora de Estudos e Projetos do Governo

A Tabela 4.7 demonstra quais foram os critérios que foram analisados com a marcação
de atende ou não atende em cada um dos três órgãos públicos e também para o Catálogo:
6 http://www.comprasgovernamentais.gov.br/

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
73
Critério Analisado
Cerficação ISO 27001
Cerficação TIER 2
Certificação SOC 2
Certificação ISO 9001
Solução de Firewall
Detecção de Ataques WEB
Comunicação de dados por meio de VPN
Gerenciamento de identidades integrada
a Comunidade Acadêmica Federada (RNP)
Registro de Operações (logs de auditoria)
Níveis de controle de acesso aos dados
de acordo com perfil do usuário
Ambientes de Hypervisors com suporte
a atualizações
Integração de Ambientes Virtualizados
com fibra óptica
Ambiente tolerante a falhas e com alta
disponibilidade
Possuir Site Backup em local remoto
Atualização de firmware de equipamentos
Treinamento avançado do ambiente
virtualizado
Homologação do ambiente de produção
Possuir Níveis de Acordo de Serviço
SLAs
Suporte Técnico ON SITE 24 X 7
Classificação de chamados técnicos
baseado em níveis de severidade
Aplicação de penalidades baseadas no
SLA
Sistema ONLINE para consulta dos
status dos chamados técnicos
Equação de bilhetagem básica baseada
no consumo dos recursos computacionais
Gestão financeira do Domínio/Conta
baseado no consumo dos recursos
Monitoramento de logs das máquinas
virtuais
Monitoramento dos recursos
computacionais das máquinas virtuais
Definição de alertas dos recursos
computacionais automatizados
Sistema ONLINE com os gráficos e
estatísticas do ambiente em nuvem

USP

PGR

FINEP
X
X

X

X

X

X

X

X

X

CATÁLOGO
X
X
X
X
X
X
X
X

X

X
X

X

X

X

X

X
X

X

X

X

X
X

X

X

X
X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X

X
X

X

X

X

X
X
X

Tabela 4.7: Tabela Comparativa de Contratações de Computação em Nuvem

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
74
Em um primeiro momento foi analisada a importância das certificações que são relevantes
para as contratações de serviços de Computação em Nuvem. A certificação ISO 27001 é a
padronização que trata sobre as normas internacionais de segurança da informação, contribuindo
com um conjunto de requisitos, processos e controles para mitigar os riscos de segurança em
uma organização. A ISO 27001 garante que:    

Os riscos e ameaças do negócio sejam gerenciados e avaliados de forma detalhada;
Os processos relacionados à segurança física sejam aplicados de forma consistente
com o acesso totalmente restrito;
Auditorias sejam realizadas periodicamente em cada local, incluindo os testes de
segurança, bem como o planejamento e monitoramento do local;
Seja disponibilizada uma descrição detalhada da metodologia de análise/avaliação
dos riscos de segurança da informação;

Esta é um certificação de grande relevância para os provedores de Computação em
Nuvem, pois a segurança da informação é uma das principais preocupações da área de negócio,
onde a informação é o bem mais valioso a ser resguardado em uma organização. Esse critério da
ISO 27001 foi abordado no edital da FINEP e no catálogo como sendo um item obrigatório a
ser cumprido em contratações de Computação em Nuvem. Esta certificação vai garantir uma
maior credibilidade e confiabilidade em relação ao cumprimento das normas internacionais de
segurança da informação em órgãos públicos por parte dos provedores.
Já os órgãos USP e PGR não se preocuparam em detalhar a obrigatoriedade da certificação ISO 27001 por parte dos provedores de Computação em Nuvem. A falta deste critério
pode vir a prejudicar consideravelmente os serviços prestados pelos provedores em relação aos
processos e requisitos de segurança da informação que são impostos pela legislação Brasileira.
Além disso uma falha na segurança da informação pode colocar em risco a credibilidade das
informações prestadas pelos diversos órgãos públicos pertencentes a APF.
O padrão de classificação TIER 2 é o responsável por descrever os requisitos mínimos
necessários em uma infraestrutura de Datacenter, onde todos os equipamentos que fazem parte
do Datacenter e da operadora de telecomunicações terão que ter módulos redundantes com no
mínimo de N+1. A redundância será aplicada a equipamentos como roteadores, ar condicionados,
fontes de energia, UPS, Nobreaks, grupo gerador, switchs, servidores, dentre outros. Este item
é de extrema importância para garantir a alta disponibilidade dos equipamentos em grandes
infraestruturas de Computação em Nuvem.
Somente o órgão FINEP e o catálogo detalharam a necessidade da obrigatoriedade
da certificação TIER 2. Esse item assegura uma infraestrutura de TI mais confiável com a
correta operação dos equipamentos de Datacenter, além de minimizar os riscos de downtime
quando ocorrer falha em outro equipamento com as mesmas características. Este critério e de

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
75
grande importância para se conseguir a alta disponibilidade nos Datacenters que fazem parte dos
provedores de Computação em Nuvem.
Os órgãos USP e PGR não especificaram em seus termos de referência o atendimento ao
padrão de classificação TIER 2. Este detalhe pode influenciar de forma negativa na qualidade
dos serviços prestados pelos provedores de Computação em Nuvem, pois eles podem oferecer
Datacenters que não possuem equipamentos em redundância e, em caso de falha em um dos
equipamentos, os sistemas e aplicações podem ficar comprometidos com a demora na substituição
dos itens afetados, e assim prejudicar consideravelmente os sistemas e aplicações que dizem
respeito a área de negócio.
O padrão SOC 2 é o responsável pela auditoria e emissão dos relatórios sobre os controles
em organizações de serviços relevantes para segurança como: disponibilidade, integridade do
processamento, confidencialidade e privacidade dos dados que são destinados ao uso pelas partes
interessadas da área de negócios. Esses relatórios são utilizados para que se obtenha um completa
compreensão da organização de serviços e seus controles internos. Os relatórios são compostos
por itens como: 

Supervisão da organização; 

Programa de gerenciamento de fornecedores; 

Processos internos de governança corporativa e gerenciamento de riscos; 

Supervisão regulamentar;

Em relação ao padrão SOC 2 somente o catálogo identificou a necessidade de atendimento aos padrões de auditoria. Os relatórios disponibilizados pela auditoria no SOC 2 são
muito importantes para que o gerenciamento e supervisão dos equipamentos disponibilizados em
uma infraestrutura de Datacenter em provedores de Computação em Nuvem estejam realmente
alinhados com todas as estratégias que são planejadas pela área de negócio, fazendo com que as
propostas da governança corporativa sejam seguidas a risca pelos provedores de nuvem. Neste
ponto os três órgãos deixaram a desejar, pois podem correr o risco de que os processos internos
que estão sendo executados na prática não estejam alinhados com a real necessidade planejada
pela área de negócios, prejudicando assim os principais objetivos institucionais.
A norma ISO 9001 é um sistema de gestão de qualidade que tem o propósito de desenvolver padrões de "melhoria contínua" para serem utilizadas em todos os países do mundo. Seu
principal objetivo é manter um portfólio de serviços que permitam uma constante melhoria de
desempenho devido a sua implementação. São vários os benefícios que podem ser conseguidos
com a gestão de qualidade adotados na ISO 9001, dentre esses podemos citar alguns principais: 

Um melhor desempenho operacional; 

Uma melhor gestão da qualidade para atender às necessidades dos clientes;

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
76 
Ampliar as oportunidades de negócios ao demonstrar conformidade com o sistema; 

Maneiras mais eficientes de trabalhar para economizar tempo, dinheiro e recursos;

No critério relacionado a certificação ISO 9001 somente o catálogo se preocupou em
definir a obrigatoriedade de atender aos padrões exigidos no sistema de gestão de qualidade da
ISO 9001. Como este é um padrão internacional que se preocupa constantemente na melhoria da
gestão de qualidade com o objetivo de adotar processos mais eficientes na forma de trabalhar, fica
evidente a importância de se realizar práticas de melhorias na gestão por parte dos provedores
de Computação em Nuvem. Com o atendimento aos padrões de qualidade relacionados na ISO
9001 os resultados esperados em órgãos públicos no consumo de serviços de Computação em
Nuvem podem refletir em vantagens como a economia de dinheiro, tempo e recursos.
Os órgãos FINEP, PGR e USP não definiram em seus editais de contratação a obrigação
da certificação do sistema de gestão de qualidade com a ISO 9001 aos provedores de Computação
em Nuvem. Esse detalhe pode impactar negativamente na melhoria do desempenho operacional,
além de reduzir as oportunidades de crescimento da área de negócio. Sem a aplicabilidade da ISO
9001 não será possível adotar processos que sejam mais eficientes na prestação de serviços por
parte dos provedores de Computação em Nuvem. O não cumprimento desta ISO também pode
ocasionar uma deficiência na gestão dos recursos de TI, impossibilitando assim uma possível
redução de custos aos órgãos públicos.
Outro critério analisado foi em relação à detecção de ataques do tipo WEB por parte dos
provedores de Computação em Nuvem. Apesar de todos os três órgãos apresentarem soluções
de firewall em seus termos de referência, somente o catálogo descreveu a obrigatoriedade da
detecção de ataques WEB, como os relacionados a seguir: 

Violações do protocolo HTTP; 

SQL Injection; 

Cross-Site Scripting (XSS); 

Buffer Overflow; 

OS Command Execution; 

Remote Code Inclusion; 

Server Side Includes (SSI) Injection; 

Scanners de vulnerabilidade Web e Crawlers; 

Worms e Web Shell Backdoors; 

Denial of Service Attack (DDOS);

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
77
Esses ataques podem afetar diretamente na prestação dos serviços disponibilizados pelos
provedores de Computação em Nuvem. A detecção destes tipos de ataque é bastante relevante
para a construção das regras de firewall a serem aplicadas e também para a prevenção no caso de
ocorrências de novos ataques com as mesmas características. A detecção dos ataques também
pode ser uma forma de se programar para antecipar novos tipos de ataques, tomando as decisões
baseadas nos registros de ataques que já ocorreram.
Diante desta realidade que demonstra a fragilidade dos órgãos FINEP, PGR e USP
em relação a detecção de ataques do tipo WEB fica evidente alguns dos principais motivos
que podem vir a comprometer a parte relacionada à segurança da informação dos serviços de
Computação em Nuvem prestados aos órgãos públicos. A falta da detecção destes ataques pode
prejudicar consideravelmente a usabilidade e a confiabilidade dos serviços e aplicações de TI
hospedados em provedores de Computação em Nuvem.
O próximo passo foi analisar o critério de gerenciamento de identidades integrada a
comunidade acadêmica7 federada da RNP. As instituições que fazem parte da CAFe tem a
possibilidade de atuar como provedoras de serviços (SP) e provedoras de identidades (idP). A
CAFe possibilita que cada usuário tenha uma conta única em sua instituição de origem, válida
para todos os serviços oferecidos à federação, eliminando a necessidade de múltiplas senhas
de acesso e processos de cadastramento. A RNP é a responsável pela gestão do serviço e por
manter o repositório centralizado com dados sobre integrantes da federação.
Somente o órgão USP e o catálogo se preocuparam em apresentar esse importante
detalhe técnico em seus documentos de contratação. Esse serviço é extremamente necessário
para a padronização e segurança do serviço de autenticação centralizada de vários tipos de
serviços que são prestados aos órgãos públicos da APF. Com o mesmo login de rede o usuário
pode autenticar-se em vários tipos de serviços, inclusive no próprio sistema de PEN proposto
neste trabalho, eliminando assim um sistema de autenticação heterogêneo e com várias senhas a
serem lembradas e/ou armazenadas.
Os órgãos FINEP e PGR correm o risco de não usufruírem deste tipo de serviço prestado
pela RNP, ficando impossibilitados de serem seus próprios provedores de identidades e serviços.
A falta desta especificação pode ocasionar a necessidade do desenvolvimento de sistemas e
aplicações que serão responsáveis por prestar este tipo de serviço de autenticação. Com está
demanda extra pode-se gerar mais gastos com pessoal e infraestrutura de TI que seriam até então
desnecessárias com o uso da CAFe.
Em paralelo ao serviço de gerenciamento de identidades foi analisado o serviço de
controle de acesso aos dados que serão armazenados em provedores de Computação em Nuvem
de acordo com o perfil do usuário. Somente o catálogo se preocupou em detalhar esse item
em sua proposta de contratação. Essa especificação técnica garante que cada usuário ou grupo
de usuários tenham somente as permissões necessárias de acordo com o perfil atribuído pela
alta gestão dos órgãos pertencentes a APF. O perfil será atribuído de acordo com as seguintes
7 https://portal.rnp.br/web/servicos/cafe

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
78
permissões: 

Create: Permite a criação e atualização de novos arquivos digitais. 

Store: Permite o armazenamento dos arquivos digitais.  

Use: Permite a visualização, processamento e utilização dos arquivos por algum tipo
de aplicação.
Share: Permite o compartilhamento dos dados entre os usuários, clientes, ou parceiros. 

Archive: Permite o armazenamento dos arquivos a longo prazo. 

Destroy: Permite a destruição permanente utilizando de algum meio físico ou digital.

Por meio desta funcionalidade um usuário ou grupo de usuários somente vai poder criar,
alterar, compartilhar, armazenar, arquivar ou destruir um arquivo digital se essa permissão for
atribuída ao mesmo. É muito importante para a parte de gestão de segurança da informação
atribuir níveis de acesso aos dados armazenados em provedores de Computação em Nuvem
justamente para evitar acessos indevidos ou desnecessários. Nesse critério os órgãos FINEP,
PGR e USP falharam com a falta de detalhamento nos termos de referência. Esse detalhe pode
ocasionar grandes falhas de segurança nos arquivos digitais que são armazenados em provedores
de nuvem, pois um mesmo usuário poderá ter acesso a vários tipos de arquivos confidenciais ou
até mesmo destruí-los sem a permissão dos responsáveis pela alta gestão dos órgãos da APF.
Na análise relacionada ao ambiente de virtualização foi verificado se os editais contemplavam a obrigatoriedade do ambiente ser tolerante a falhas e com alta disponibilidade. Nesse
critério os dois órgãos FINEP e PGR, como também o catálogo, indicaram em seus termos de
referência que é necessário que o ambiente de Computação em Nuvem fosse preparado para
disponibilizar essas duas características.
A alta disponibilidade é um recurso que monitora continuamente todos os servidores
pertencentes a um cluster no Datacenter para que quando ocorrer a falha em um desses servidores
as máquinas virtuais e aplicações são automaticamente migradas para outro servidor pertencente
ao cluster com o mínimo de tempo de inatividade. De acordo com o datasheet8 da VMware a
alta disponibilidade pode apresentar as seguintes vantagens:  

Minimizar o tempo de inatividade e a interrupção dos serviços de TI, eliminando
também a necessidade de hardware dedicado em standby e instalação de software
adicional;
Fornecer alta disponibilidade uniforme em todo o ambiente de TI virtualizado, sem o
custo ou a complexidade das soluções de failover associadas a sistemas operacionais
ou aplicativos específicos;

8 https://www.vmware.com/files/br/pdf/products/07Q3_VM_HA_DS_BR_A4.pdf

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
79
Já no recurso de tolerância a falhas é feita uma cópia idêntica da máquina virtual que
está em produção, sendo que a segunda fica totalmente sincronizada com a primeira máquina
virtual e, em caso de falha da máquina em produção automaticamente a segunda assume sem
nenhum tipo de downtime, ou seja, a máquina réplica assume a função da principal sem nenhum
tempo de inatividade ou interrupção.
Os recursos de alta disponibilidade e tolerância a falhas são indicados para sistemas de
missão critica, onde não é permitido nenhum tipo de falha ou interrupção dos serviços. Diante
destas características fica evidente a necessidade de se utilizar esses recursos nos ambientes de
sistemas e aplicações de TI da APF, onde todos os sistemas tem que ficar disponíveis nas 24 horas
do dia e nos 7 dias da semana. Apenas o órgão USP não detalhou a necessidade desses recursos
em seu termo de referência, e a principal consequência ocasionada por esse descuido pode ser
refletido em longos períodos de indisponibilidade dos serviços e aplicações de TI prestados pelos
órgãos públicos.
Outro detalhe importante que foi analisado está relacionado ao treinamento avançado
do ambiente virtualizado e com a homologação do ambiente de produção. Todos os três órgãos
FINEP, PGR e USP se preocuparam em definir que é necessário o treinamento da equipe de TI e
também a homologação do ambiente de produção. Já o catálogo demonstrou uma falha quanto a
esses critérios por não especificar a importância desses itens em sua documentação.
Existem diversas maneiras de se gerenciar um ambiente virtualizado, onde as ferramentas
que dão suporte a essa tecnologia estão sempre sofrendo novas atualizações, adicionando mais
opções de configuração, novas tendências e, ao mesmo tempo, tornando outras ferramentas
ultrapassadas. Portanto, é imprescindível que a equipe de TI esteja apta para lidar com as
novidades tecnológicas e tendências, e para realizar tal tarefa é necessário o investimento em
capacitação e treinamento da equipe para se ter o domínio das ferramentas mais modernas,
proporcionando melhores resultados e soluções inovadoras.
Diante deste cenário fica bem claro a vantagem que os órgãos FINEP, PGR e USP
tiveram em relação ao catálogo, pois todos os três se preocuparam em descrever a necessidade do
treinamento avançado do ambiente virtualizado, proporcionando assim a vantagem de capacitar
a equipe de TI no ambiente que será colocado em produção com a possibilidade de utilizar todos
os recursos disponíveis na ferramenta em todos os sistemas e aplicações de TI dos diversos
órgãos públicos da APF.
Depois de realizado todo o treinamento do ambiente virtualizado faz-se necessário a
simulação de um ambiente de testes que seja o mais próximo possível do que será colocado em
produção. Esse ambiente é utilizado para fazer vários tipos de testes das ferramentas e aplicações
de TI que fazem parte da solução com o intuito de saber se tudo está acontecendo dentro dos
padrões esperados. O ambiente de homologação é um ambiente onde o órgão deverá testar todas
as funcionalidades do sistema que serão posteriormente colocadas em produção ou refeitas, caso
não ocorra à aprovação por parte deste órgão.

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
80
Neste caso novamente os órgãos FINEP, PGR e USP foram bastante criteriosos e se
preocuparam em detalhar a necessidade de homologação do ambiente de produção em seus
devidos termos de referência, e somente o catálogo deixou a desejar não contemplando este
item em sua documentação. Uma das principais vantagens de se ter um ambiente homologado é
justamente para evitar possíveis problemas com inconsistências do sistema quando o mesmo já
estiver em produção.
Nesta seção também foi feita a análise sobre os níveis de acordo de serviços SLA (Service
Level Agreement) descritos nos contratos das soluções de Computação em Nuvem. Neste item
todos os órgãos FINEP, PGR e USP, como também o catálogo, demonstraram a preocupação e
descreveram a necessidade de implementar os SLAs. Entretanto, apenas o órgão USP falhou em
não detalhar os critérios que seriam cobrados no atendimento do suporte técnico em seu termo
de referência.
De uma maneira mais objetiva um SLA deve ser o responsável por especificar, em termos
mensuráveis e claros, quais os serviços e o suporte que o fornecedor terá que oferecer até o final
do contrato. A partir dele são estabelecidas metas de nível de serviço, prazos contratuais e termos
de compromisso que ajudam o contratante a monitorar o trabalho realizado pelo contratado.
Os órgãos FINEP, PGR e o catálogo se preocuparam com os mínimos detalhes que são
extremamente importantes nesse tipo de contratação. Nesses casos o suporte técnico tem que
ser do tipo ON SITE com o atendimento nas 24 horas do dia e nos 7 dias da semana. Esse item
é essencial para as contratações de serviços de Computação em Nuvem nos órgãos da APF. É
justamente esse tipo de suporte que vai garantir o correto funcionamento dos equipamentos em
casos extremos de reparos técnicos que estão compreendidos fora dos horários comerciais e
também nos finais de semana.
Outro detalhe importante que foi contemplado pelo FINEP, PGR e o catálogo foi em
relação ao tempo de atendimento dos chamados técnicos de acordo com os níveis de severidade.
No documento foi estabelecido os tempos de atendimento de acordo com a gravidade do chamado.
Os níveis de severidade foram categorizados da seguinte maneira: 

Crítico: Erro ou problema com impacto crítico que afeta diretamente no negócio; 

Alto: Erro ou problema sensível em termos de tempo; 

Médio: Perda parcial ou limitada de funcionalidade não crítica; 

Baixo: Erro, problema ou dúvidas com impacto mínimo no negócio;

A classificação em níveis de severidade é importantíssimo para dar prioridade aos
chamados mais importantes da área de negócio. Como exemplo podemos citar os sistemas e
aplicações de missão crítica que necessitam estar disponíveis aos usuários em tempo integral.
Nesses casos que são necessários os atendimentos dos chamados técnicos será garantido um
tempo máximo para o reparo definido de acordo com os critérios estabelecidos nos SLAs. Nessa

4.4. ANÁLISE COMPARATIVA DO CATÁLOGO DE BOAS PRÁTICAS COM
CONTRATAÇÕES DE COMPUTAÇÃO EM NUVEM EM ÓRGÃOS PÚBLICOS
81
comparação o órgão USP apresentou uma grande falha deixando de especificar os níveis de
severidade em seu termo de referência. Esse detalhe pode resultar em atrasos no atendimento de
chamados de grande prioridade que pode afetar diretamente a área de negócio, além de priorizar
situações onde o nível de severidade é mais baixo do que outros que estão na mesma fila de
espera.
O próximo critério analisado foi em relação a especificação da forma de bilhetagem
dos recursos computacionais utilizados em provedores de Computação em Nuvem. Neste item
somente o órgão USP e o catálogo definiram em suas respectivas documentações a importância
de se apresentar um método de tarifação desses recursos. É extremamente importante o detalhamento da utilização dos recursos computacionais que realmente são necessários para calcular os
gastos em Reais(R$) de um domínio/conta do órgão público.
A vantagem de elaborar uma equação de bilhetagem é justamente para contribuir na
construção de uma planilha de custos dos recursos computacionais mais bem elaborada, onde
a APF poderá bloquear novas demandas baseadas em um orçamento anual pré-definido, ou
seja, ao atingir 90% dos recursos financeiros, emitir alerta por e-mail para o administrador do
domínio/conta de consumo do orçamento, ou ainda quando o consumo estiver entre 80% e 90%,
emitir relatório mensal contendo os gastos e disponibilizando a fatura para o pagamento do
serviço.
Além destas vantagens ressalta-se que na Computação em Nuvem os serviços prestados
são pagos de acordo com a sua real utilização. Essa característica deixa mais evidente a
necessidade da definição de quais critérios e recursos realmente serão utilizados para o cálculo
do pagamento dos serviços. Os órgãos FINEP e PGR foram falhos em não apresentar os critérios
de bilhetagem em seus termos de referência. Esta deficiência pode impactar negativamente nas
finanças dos órgãos públicos, com a possibilidade de gastos mais elevados pela utilização dos
recursos, ocasionados principalmente pela falta de uma correta metodologia de cálculo por parte
dos provedores de Computação em Nuvem.
Para finalizar a comparação foi analisado o critério relacionado ao monitoramento e
gerenciamento dos recursos computacionais exigidos nos editais de contratação dos serviços
de Computação em Nuvem. Neste item todos os órgãos USP, FINEP e PGR, como também o
catálogo foram capazes de descrever a necessidade e importância do monitoramento dos recursos
computacionais. Entretanto, apenas o catálogo se preocupou em implementar critérios de alertas
baseados no consumo dos recursos computacionais em nuvem como forma de automatizar o
incremento dos recursos sem a necessidade de intervenção humana.
Esses alertas são os responsáveis por automatizar o processo de provisionamento dos
recursos computacionais em provedores de Computação em Nuvem de acordo com a porcentagem de utilização de cada recurso. A grande vantagem que se pode obter com a utilização
destes alertas é justamente em dispensar a intervenção humana (como o trabalho de Analistas e
Técnicos de TIs) em processos que sejam necessários para a alocação de mais recursos computacionais para atender as demandas que surgem de forma emergencial. Esses alertas foram criados

4.5. RESUMO DO CAPÍTULO

82

somente na documentação apresentada no catálgo. Neste quesito os três órgãos FINEP, PGR e
USP deixaram a desejar com a falta de especificação de critérios utilizados para a automação de
recursos nos casos de necessidade de escalabilidade do ambiente de Computação em Nuvem.
O principal objetivo desta análise comparativa entre o catálogo e os três órgãos públicos
FINEP, PGR e USP, foi a de demonstrar por meio de uma visão mais crítica os principais itens a
serem observados e que podem beneficiar de forma estratégica novos editais de contratações de
serviços de Computação em Nuvem, como também apresentar as principais falhas detectadas na
elaboração dos editais e termos de referência projetados por Gestores de TI em exercício nos
órgãos pertencentes à APF.
Por meio de uma análise mais ampla entre os termos de referência dos três órgãos e o
catálogo conclui-se que o catálogo atende praticamente na totalidade dos critérios analisados da
Tabela 4.7. Além do alto percentual de atendimento nas comparações, ele fornece na maioria das
vezes critérios que são apresentados de forma mais detalhada e que são específicos e de extrema
importância para contratações de serviços de Computação em Nuvem.

4.5

Resumo do Capítulo

Este capítulo apresentou uma proposta contendo o Catálogo de Boas Práticas com as
principais diretrizes a serem seguidas pelos órgãos da APF em contratações de serviços de
Computação em Nuvem com o objetivo de prover uma infraestrutura de TI adequada para a
implantação do sistema PEN. Esta proposta contou com a elaboração das boas práticas relacionadas à Governança de TI, Segurança da Informação, contratos de níveis de serviço (SLAs),
equação de bilhetagem básica e monitoramento dos recursos computacionais nas contratações de
serviços de Computação Nuvem. Além da apresentação da proposta foi realizada uma análise
comparativa entre o escopo de atendimento do catálogo e os termos de referência de três órgãos
públicos FINEP, PGR e USP.
O próximo capítulo vai abordar as considerações finais do trabalho, com a conclusão, as
limitações e os possíveis trabalhos futuros que poderão permitir a continuidade da pesquisa.

83

5
CONSIDERAÇÕES FINAIS
Este capítulo apresenta as informações acerca das conclusões, contribuições e recomendações para trabalhos futuros.

5.1

Conclusão

Neste trabalho de pesquisa ficou bastante evidente as dificuldades encontradas pelos
Gestores de TI em relação a parte de Governança de TI. Foi identificado que esses gestores que
atuam na APF tem que se desdobrar em várias funções que não são exatamente as atribuições
de seu cargo como, por exemplo, desempenhar a função de Analista de TI e essa função extra
exige um grande esforço de concentração com um alto nível de complexidade na execução de
tarefas rotineiras, como a de programação de sistemas e administração de redes de computadores.
Essas tarefas extras prejudicam as suas reais atribuições como Gestores de TI, que são a de
planejar e governar a infraestrutura de TI de acordo com o planejamento estratégico institucional
elaborados pela alta direção da APF.
Os impedimentos em novas contratações de soluções de TI na APF estão relacionados
principalmente aos motivos de restrições orçamentárias e ao processo extremamente burocrático
enfrentados pelos Gestores de TI. As restrições orçamentárias são ocasionadas por cortes no
orçamento público gerados no Governo Federal ao longo do ano. Essas restrições financeiras
são responsáveis por prejudicar o andamento da execução dos projetos de TI elaborados pelos
gestores de TI da APF.
Em relação as causas dos impedimentos gerados pelo processo burocrático, os entraves
são ocasionados pelas normas a serem cumpridas que são impostas pela legislação brasileira.
Dentre essas normas podemos citar as duas principais legislações que regulam a TI na APF:
A Instrução Normativa no 4 de 2014 que dispõe sobre o processo de contratação de soluções
de TI na APF, e a lei no 8.666/93 que é a responsável por instituir as normas para licitações e
contratos na APF. Essas normas são as que tornam o processo de contratação de soluções de
TI burocráticos, podendo gerar atrasos que perduram por vários meses ou, em alguns casos,
ultrapassam anos para serem concluídos.

5.1. CONCLUSÃO

84

Outro fator que preocupa os Gestores de TI diz respeito ao quantitativo da equipe de
trabalho disponível para executarem as demandas por serviços de TI na APF. Praticamente todos
os gestores tem o quadro de pessoal de TI bastante reduzido e isso prejudica bastante a qualidade
na prestação de serviços a população em geral, pois de acordo com a pesquisa essa carência de
pessoal é responsável pelo atraso na entrega das demandas por serviços de TI. Esses serviços
demoram em média de seis meses a um ano para serem executados e ficarem disponíveis como
uma solução a ser utilizada na APF. Essa demora pode prejudicar ou até mesmo impossibilitar a
implantação do sistema PEN durante os dois anos que foram declarados no Decreto no 8.539.
O processo de aquisição de ativos de redes e licenças de software é bastante demorado
na APF. O tempo que é utilizado durante todo o processo fica entre um a dois anos e esse tempo
é muito longo para atender às demandas mais urgentes, prejudicando consideravelmente o tempo
de implantação do sistema PEN para a APF. A questão do tempo gasto na aquisição dos ativos e
licenças também é um fator preponderante que acaba por prejudicar a qualidade e eficiência na
prestação dos serviços de TI em geral, prestados pela APF.
A proposta com o Catálogo de Boas Práticas foi projetado justamente para mitigar os
problemas de atrasos com a entrega de soluções de TI para atender ao sistema PEN, e também
para eliminar o mal uso dos recursos computacionais nos Datacenters da APF, que em alguns
casos podem estar sendo subutilizados e, em outros sobrecarregados, dependendo da situação de
cada órgão.
Este Catálogo de Boas Práticas foi construído com a ideia principal de viabilizar uma
mudança de paradigma nas contratações de soluções de TI da APF. Ele propõe um novo direcionamento para contratações de soluções TI baseadas em serviços de Computação em Nuvem,
devido a grande escalabilidade que este modelo nós permite, onde novos serviços de TI serão
disponibilizados apenas com a autorização de novas ordens de serviço.
A utilização do Catálogo de Boas Práticas pelos órgãos da APF pode reduzir consideravelmente o tempo em novas contratações de soluções de TI para a implantação do sistema
PEN, pois ele fornece de uma forma mais prática e funcional todos os passos a serem seguidos
em novas contratações envolvendo o modelo de Computação em Nuvem. Além da redução do
tempo em contratações, também deve ser levado em consideração possíveis resultados com a
redução de custos que são investidos em equipamentos TI, pois esse modelo permite o pagamento
somente por aquilo que realmente foi consumido, evitando assim o desperdício em compras de
equipamentos de TI desnecessárias.
Conclui-se então que a proposta contendo o Catálogo de Boas Práticas possa vir a
permitir um novo modelo de Gestão dos recursos de TI na APF, possibilitando o uso mais
racional e otimizado destes recursos. O catálogo contém todas as recomendações a serem
seguidas em contratações de serviços de Computação em Nuvem que, de acordo com MELL;
GRANCE (2011), permite a utilização de um pool de recursos computacionais sob demanda,
com um alto poder de escalabilidade, além da facilidade de gerenciamento e monitoramento dos
recursos.

5.2. LIMITAÇÕES DA PESQUISA

5.2

85

Limitações da Pesquisa

As limitações para a realização deste trabalho de pesquisa apresentaram-se de formas
distintas. Primeiramente devido a escolha do método de procedimento ser um estudo de caso.
Os dados foram coletados somente em um órgão público da APF em específico, no caso o
Instituto Federal de Educação, Ciência e Tecnologia Goiano, dentre vários outros que fazem
parte da APF. A escolha do IF Goiano se deu pelo fato da facilidade de se conseguir atingir os
100% da população que seria o público alvo a ser entrevistado que, no caso foram os Gerentes
de TI dos Campus, e os Diretores de TI lotados na Reitoria.
Em um segundo momento foi necessário o auxílio dos Analistas de TIs dos Campus para a
instalação das ferramentas de monitoramento Zabbix1 e também a de inventário OCS inventory
NG2 em seus respectivos ambientes de Datacenters para que a coleta dos dados referentes as
cargas de trabalho dos Datacenters ocorresse de forma sincronizada, tudo nos mesmos dias e
horários de funcionamento. Isso aconteceu devido a necessidade de se adequar ao cumprimento
das normas de política de segurança da informação de cada Campus e Reitoria, onde cada um
possui as suas formas de gerenciamento de senhas e chaves de acesso aos servidores e ativos de
rede.

5.3

Trabalhos Futuros

Este trabalho apresentou uma proposta contendo os guias de recomendações a serem
seguidas pelos Gestores de TI dos órgãos da APF em contratações de serviços de Computação
em Nuvem para atender ao sistema PEN. Como o guia poderá ser utilizado em qualquer um
dos diversos órgãos pertencentes à APF, cada qual com suas regras e políticas de implantação,
é altamente recomendável se atentar para alguns requisitos técnicos e jurídicos que não foram
contemplados de uma maneira mais detalhada no Catálogo de Boas Práticas deste trabalho e,
dentre estes requisitos, podemos citar os seguintes que podem ter uma contribuição relevante
para trabalhos futuros na implantação de ambientes de Computação em Nuvem na APF: 

Domínio jurídico das leis de segurança e privacidade: Dentro do domínio jurídico,
as regras de segurança e privacidade devem ser analisadas mais a fundo, para que
os contratos de prestação de serviços com os provedores de Nuvem possam garantir
que todos os detalhes de privacidade estejam em conformidade com a legislação
local e as políticas de implantação de cada órgão. Se em alguns casos os provedores
de Nuvem não fornecerem meios de garantir a integralidade do cumprimento da
legislação, faz-se necessário a construção de meios alternativos como os acordos
do tipo ad-hoc entre os órgãos e provedores de Nuvem (CLOUD COMPUTING IN
EDUCATION, 2013).

1 http://www.zabbix.com/
2 http://www.ocsinventory-ng.org/en/

5.3. TRABALHOS FUTUROS  

86

APIs de comunicação para camada de Aplicação: Como a contratação dos serviços
para implantação do sistema PEN podem ser concretizados em diferentes provedores
de Nuvem, é altamente recomendável o desenvolvimento de APIs do tipo RESTful
(Representational State Transfer), para ficarem responsáveis por fazer o acoplamento entre os componentes cliente e servidor em uma aplicação distribuída, como
no caso do sistema PEN. No contexto da interoperabilidade entre as Nuvens, as APIs
RESTful podem ser uma a escolha adequada, devido à exigência de que o cliente
deve ser extremamente resistente a mudanças no servidor (ZHANG; WU; CHEUNG,
2013).
Camada extra de proteção aos dados armazenados: Como o sistema PEN tem
como principal objetivo disponibilizar meios eletrônicos para a tramitação dos mais
diversos tipos de processos entre os órgãos públicos da APF, e ainda sabendo que
a informação é considerada como bem mais valioso e sigiloso de qualquer tipo de
organização, é extremamente importante utilizar mecanismos de criação de chaves
de criptografia públicas do tipo PGP (Pretty Good Privacy) para fazer a criptografia
e descriptografia dos dados confidenciais utilizados pelos sistema PEN armazenados
em provedores de Nuvem (SHAHZAD, 2014).

87

Referências
AHMADIPOUR, M. et al. Cloud computing and how to apply it to IT management. In: CLOUD
COMPUTING TECHNOLOGIES, APPLICATIONS AND MANAGEMENT (ICCCTAM),
2012 INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.193–195.
ALJENAA, E.; AL-ANZI, F. S.; ALSHAYEJI, M. Towards an Efficient e-Learning System
Based on Cloud Computing. In: SECOND KUWAIT CONFERENCE ON E-SERVICES AND
E-SYSTEMS, New York, NY, USA. Proceedings. . . ACM, 2011. p.13:1–13:7. (KCESS ’11).
AMANATULLAH, Y. et al. Toward cloud computing reference architecture: cloud service
management perspective. In: ICT FOR SMART SOCIETY (ICISS), 2013 INTERNATIONAL
CONFERENCE ON. Anais. . . [S.l.: s.n.], 2013. p.1–4.
AMEEN, R. Y.; HAMO, A. Y. Survey of server virtualization. arXiv preprint
arXiv:1304.3557, [S.l.], 2013.
ANDRIKOPOULOS, V. et al. How to adapt applications for the Cloud environment.
Computing, [S.l.], v.95, n.6, p.493–535, 2013.
ARMBRUST, M. et al. Above the Clouds: a berkeley view of cloud computing. [S.l.]: EECS
Department, University of California, Berkeley, 2009. (UCB/EECS-2009-28).
BELAHCEN, A.; ABIK, M.; AJHOUN, R. C-MADAR Learning: cloud based learning
environment. In: GLOBAL ENGINEERING EDUCATION CONFERENCE (EDUCON), 2012
IEEE. Anais. . . [S.l.: s.n.], 2012. p.1–7.
BHISIKAR, A. G-Cloud: new paradigm shift for online public services. International Journal
of Computer Applications, [S.l.], v.22, n.8, p.24–29, 2011.
BOHN, R. B. et al. NIST Cloud Computing Reference Architecture. In: IEEE WORLD
CONGRESS ON SERVICES, 2011., Washington, DC, USA. Proceedings. . . IEEE Computer
Society, 2011. p.594–596. (SERVICES ’11).
BUTT, S. et al. Self-service cloud computing. In: ACM CONFERENCE ON COMPUTER
AND COMMUNICATIONS SECURITY, 2012. Proceedings. . . [S.l.: s.n.], 2012. p.253–264.
BUYYA, R.; BROBERG, J.; GOSCINSKI, A. M. Cloud computing: principles and paradigms.
[S.l.]: John Wiley & Sons, 2010. v.87.
CANABARRO, D. R.; CEPIK, M. Governança de TI - Transformando a Administração
Pública no Brasil. 1th.ed. [S.l.]: WS - Porto Alegre, 2010.
CELLARY, W.; STRYKOWSKI, S. E-government based on cloud computing and
service-oriented architecture. In: THEORY AND PRACTICE OF ELECTRONIC
GOVERNANCE, 3. Proceedings. . . [S.l.: s.n.], 2009. p.5–10.
CHHABRA, S.; DIXIT, V. S. Cloud Computing: state of the art and security issues. SIGSOFT
Softw. Eng. Notes, New York, NY, USA, v.40, n.2, p.1–11, Apr. 2015.
CHOU, D. C. Cloud computing: a value creation model. Computer Standards and Interfaces,
[S.l.], v.38, p.72 – 77, 2015.

REFERÊNCIAS

88

SAMPSON, G. D. et al. (Ed.). Cloud Computing in Education. New York, NY: Springer New
York, 2013. p.19–36.
CONBOY, K.; FITZGERALD, B. Method and Developer Characteristics for Effective Agile
Method Tailoring: a study of xp expert opinion. ACM Trans. Softw. Eng. Methodol., New
York, NY, USA, v.20, n.1, p.2:1–2:30, July 2010.
COOKE, R. M. Experts in uncertainty: opinion and subjective probability in science. [S.l.]:
New York, NY (United States); Oxford University Press, 1991.
DILLON, T.; WU, C.; CHANG, E. Cloud Computing: issues and challenges. In: ADVANCED
INFORMATION NETWORKING AND APPLICATIONS (AINA), 2010 24TH IEEE
INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.27–33.
DONG, B. et al. An E-learning Ecosystem Based on Cloud Computing Infrastructure. In:
ADVANCED LEARNING TECHNOLOGIES, 2009. ICALT 2009. NINTH IEEE
INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2009. p.125–127.
DURAO, F. et al. A systematic review on cloud computing. The Journal of Supercomputing,
[S.l.], v.68, n.3, p.1321–1346, 2014.
EGTIC. Estratégia Geral de Tecnologia da Informação e Comunicações. Disponível em
http://www.sisp.gov.br/egtic/wiki/download/file/EGTIC, Acessado em
05 set. 2016.
EPING. ePING - Padrões de Interoperabilidade de Governo Eletrônico. Disponível em
http://eping.governoeletronico.gov.br/#p1s2.1.1, Acessado em 06 set.
2016.
ERCAN, T. Effective use of cloud computing in educational institutions. Procedia - Social and
Behavioral Sciences, [S.l.], v.2, n.2, p.938 – 942, 2010. Innovation and Creativity in Education.
FURUKAWA. Guia de Recomendação para Datacenter. Disponível em
http://www.furukawa.com.br/arquivos/i/itm/itmax/1184_
GuiadeRecomendaAAao.PDF, Acessado em 05 set. 2016.
GAJBHIYE, A.; SHRIVASTVA, K. Cloud computing: need, enabling technology, architecture,
advantages and challenges. In: CONFLUENCE THE NEXT GENERATION INFORMATION
TECHNOLOGY SUMMIT (CONFLUENCE), 2014 5TH INTERNATIONAL CONFERENCE
-. Anais. . . [S.l.: s.n.], 2014. p.1–7.
GARFINKEL, S.; ABELSON, H. Architects of the information society: 35 years of the
laboratory for computer science at mit. [S.l.]: MIT press, 1999.
GIORDANELLI, R.; MASTROIANNI, C. The cloud computing paradigm: characteristics,
opportunities and research issues. Istituto di Calcolo e Reti ad Alte Prestazioni (ICAR),
[S.l.], 2010.
GITHUB. Repositório das Leis, Decretos e Instruções Normativas do Governo Federal.
Disponível em https://github.com/alfredopupak/mestradoufpe.
ISLAM, S. et al. Cloud computing for future generation of computing technology. In: CYBER
TECHNOLOGY IN AUTOMATION, CONTROL, AND INTELLIGENT SYSTEMS (CYBER),
2012 IEEE INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.129–134.

REFERÊNCIAS

89

ISO/IEC. ISO/IEC 9001:2008 quality management systems - requeriments the adoption. United
States - USA: International Organization for Standardization, 2008. ISO.
ISO/IEC. ISO/IEC 20000-2:2012 information technology — service management — part 2:
guidance on the application of service management systems. United States - USA: International
Organization for Standardization, 2012. ISO.
ISO/IEC. ISO/IEC 27001:2013 information technology — security techniques — information
security management systems — requirements. United States - USA: International Organization
for Standardization, 2013. ISO.
JADEJA, Y.; MODI, K. Cloud computing - concepts, architecture and challenges. In:
COMPUTING, ELECTRONICS AND ELECTRICAL TECHNOLOGIES (ICCEET), 2012
INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.877–880.
JONGSAWAT, N.; PREMCHAISWADI, W. Weighting expert opinions in group decision
making for the influential effects between variables in a Bayesian network model. In:
SYSTEMS MAN AND CYBERNETICS (SMC), 2010 IEEE INTERNATIONAL
CONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.1029–1035.
KHMELEVSKY, Y.; VOYTENKO, V. Cloud Computing Infrastructure Prototype for University
Education and Research. In: WESTERN CANADIAN CONFERENCE ON COMPUTING
EDUCATION, 15., New York, NY, USA. Proceedings. . . ACM, 2010. p.8:1–8:5. (WCCCE
’10).
KITCHENHAM, P. et al. Lessons from applying the systematic literature review process within
the software engineering domain. Journal of systems and software, [S.l.], v.80, n.4,
p.571–583, 2007.
KULKARNI, V. A Conceptual Model for Capturing Stakeholders’ Wish List. In: COMPUTER
SCIENCE AND SOFTWARE ENGINEERING, 2008 INTERNATIONAL CONFERENCE ON.
Anais. . . [S.l.: s.n.], 2008. v.2, p.275–278.
KUNDRA, V. Federal Cloud Computing Strategy. [S.l.]: White House,Chief Information
Officers, 2011.
LAKATOS, E. M.; MARCONI, M. Metodologia científica. 5th.ed. [S.l.]: Atlas São Paulo,
2007.
LAKATOS, E. M.; MARCONI, M. Técnicas de Pesquisa. 7th.ed. [S.l.]: Atlas São Paulo, 2009.
LEHRIG, S.; EIKERLING, H.; BECKER, S. Scalability, Elasticity, and Efficiency in Cloud
Computing: a systematic literature review of definitions and metrics. In: INTERNATIONAL
ACM SIGSOFT CONFERENCE ON QUALITY OF SOFTWARE ARCHITECTURES, 11.,
New York, NY, USA. Proceedings. . . ACM, 2015. p.83–92. (QoSA ’15).
LI, M.; SMIDTS, C. S. A ranking of software engineering measures based on expert opinion.
Software Engineering, IEEE Transactions on, [S.l.], v.29, n.9, p.811–824, 2003.
LIANG-JIE ZHANG, E. Editorial: introduction to the body of knowledge areas of services
computing ieee transactions on services computing vol 1, number 2. [S.l.]: April-June, 2008.

REFERÊNCIAS

90

MARSTON, S. et al. Cloud computing — The business perspective. Decision Support
Systems, [S.l.], v.51, n.1, p.176 – 189, 2011.
MELL, P.; GRANCE, T. NIST Cloud Computing Standards Roadmap. In: ACM. Anais. . .
Computer Security Division: Information Technology Laboratory: National Institute of
Standards and Technology Gaithersburg, 2011.
MICROSOFT. Microsoft Trust Center - Relatórios SOC. Disponível em
https://www.microsoft.com/pt-br/TrustCenter/Compliance/SOC,
Acessado em 05 set. 2016.
MOKHTAR, S. A. et al. Cloud Computing in Academic Institutions. In: INTERNATIONAL
CONFERENCE ON UBIQUITOUS INFORMATION MANAGEMENT AND
COMMUNICATION, 7., New York, NY, USA. Proceedings. . . ACM, 2013. p.2:1–2:7.
(ICUIMC ’13).
MOLLAH, M.; ISLAM, S. Next generation of computing through cloud computing technology.
In: ELECTRICAL COMPUTER ENGINEERING (CCECE), 2012 25TH IEEE CANADIAN
CONFERENCE ON. Anais. . . [S.l.: s.n.], 2012. p.1–6.
PARKHILL, D. F. Challenge of the computer utility. [S.l.]: Addison-Wesley, 1966.
POLASH, F.; ABUHUSSEIN, A.; SHIVA, S. A survey of cloud computing taxonomies:
rationale and overview. In: INTERNET TECHNOLOGY AND SECURED TRANSACTIONS
(ICITST), 2014 9TH INTERNATIONAL CONFERENCE FOR. Anais. . . [S.l.: s.n.], 2014.
p.459–465.
PUTHAL, D. et al. Cloud Computing Features, Issues, and Challenges: a big picture. In:
COMPUTATIONAL INTELLIGENCE AND NETWORKS (CINE), 2015 INTERNATIONAL
CONFERENCE ON. Anais. . . [S.l.: s.n.], 2015. p.116–123.
RAJ, G.; SARFARAZ, M.; SINGH, D. Survey on trust establishment in cloud computing. In:
CONFLUENCE THE NEXT GENERATION INFORMATION TECHNOLOGY SUMMIT
(CONFLUENCE), 2014 5TH INTERNATIONAL CONFERENCE -. Anais. . . [S.l.: s.n.], 2014.
p.215–220.
RAJARAMAN, V. Cloud computing. Resonance, [S.l.], v.19, n.3, p.242–258, 2014.
RASTOGI, A. A model based approach to implement cloud computing in e-Governance.
International Journal of Computer Applications, [S.l.], v.9, n.7, p.15–18, 2010.
SHAHZAD, F. State-of-the-art Survey on Cloud Computing Security Challenges, Approaches
and Solutions. Procedia Computer Science, [S.l.], v.37, p.357 – 362, 2014. The 5th
International Conference on Emerging Ubiquitous Systems and Pervasive Networks
(EUSPN-2014)/ The 4th International Conference on Current and Future Trends of Information
and Communication Technologies in Healthcare (ICTH 2014)/ Affiliated Workshops.
SILVA, F. A. P. d. Monext: an accounting framework for federated clouds. 2013. Dissertação
(Mestrado em Ciência da Computação) — Universidade Federal de Pernambuco, PE, Brazil.
SMITH, D. M. Hype cycle for cloud computing, 2011. Gartner Inc., Stamford, [S.l.], p.71,
2011.

REFERÊNCIAS

91

SMITHA, K.; THOMAS, T.; CHITHARANJAN, K. Cloud Based E-Governance System: a
survey. Procedia Engineering, [S.l.], v.38, p.3816 – 3823, 2012. {INTERNATIONAL}
{CONFERENCE} {ON} {MODELLING} {OPTIMIZATION} {AND} {COMPUTING}.
THAKORE, U.; WEAVER, G.; SANDERS, W. An Actor-centric, Asset-Based Monitor
Deployment Model for Cloud Computing. In: UTILITY AND CLOUD COMPUTING (UCC),
2013 IEEE/ACM 6TH INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2013.
p.311–312.
TRIPATHI, A.; PARIHAR, B. E-governance challenges and cloud benefits. In: COMPUTER
SCIENCE AND AUTOMATION ENGINEERING (CSAE), 2011 IEEE INTERNATIONAL
CONFERENCE ON. Anais. . . [S.l.: s.n.], 2011. v.1, p.351–354.
TRIVIÑOS, A. N. S. Introdução à pesquisa em ciências sociais: a pesquisa qualitativa em
educação. [S.l.]: Atlas, 1987.
TSAI, W.-T.; SUN, X.; BALASOORIYA, J. Service-Oriented Cloud Computing Architecture.
In: INFORMATION TECHNOLOGY: NEW GENERATIONS (ITNG), 2010 SEVENTH
INTERNATIONAL CONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.684–689.
WAZLAWICK, R. Metodologia de pesquisa para ciência da computação. 6th.ed. [S.l.]:
Elsevier Brasil, 2009.
WILLIS, J. Did Google’s Eric Schmidt Coin "Cloud Computing"? Disponível em
http://cloudcomputing.sys-con.com/node/795054, Acessado em 1 fev. 2016.
WIND, S. Open source cloud computing management platforms: introduction, comparison, and
recommendations for implementation. In: OPEN SYSTEMS (ICOS), 2011 IEEE
CONFERENCE ON. Anais. . . [S.l.: s.n.], 2011. p.175–179.
WU, P.; LIU, W.; JIN, C. A Novel Recommender System Fusing the Opinions from Experts and
Ordinary People. In: WORKSHOP ON CONTEXT-AWARE MOVIE RECOMMENDATION,
New York, NY, USA. Proceedings. . . ACM, 2010. p.41–44. (CAMRa ’10).
WYLD, D. C. Moving to the cloud: an introduction to cloud computing in government. [S.l.]:
IBM Center for the Business of Government, 2009.
YEH, C. et al. Analysis of E-government service platform based on cloud computing. In:
INFORMATION SCIENCE AND ENGINEERING (ICISE), 2010 2ND INTERNATIONAL
CONFERENCE ON. Anais. . . [S.l.: s.n.], 2010. p.997–1000.
ZHANG, Z.; WU, C.; CHEUNG, D. W. A Survey on Cloud Interoperability: taxonomies,
standards, and practice. SIGMETRICS Perform. Eval. Rev., New York, NY, USA, v.40, n.4,
p.13–22, Apr. 2013.

Apêndice

93

A
Questionário Aplicado aos Gestores de TI
QUESTÕES
1. Qual é a sua área de formação?
( ) Engenharia da Computação
( ) Ciência da Computação
( ) Processamento de Dados
( ) Sistemas da Informação
( ) Análise de Sistemas
( ) Redes de Computadores
( ) Outros
2. Qual cargo de gestão você ocupa no seu local de trabalho?
( ) Diretor de TI
( ) Gerente de TI
( ) Coordenador de TI
( ) Chefe de TI
( ) Outros
3. Quantos anos você está desempenhando essa função de Gestor de TI?
( ) 2 anos
( ) 3 anos
( ) 4 anos
( ) 5 anos
( ) 6 anos ou mais
4. Para o Information Technology Governance Institute (ITGI)1 , “A Governança de TI
é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de
liderança, estrutura organizacional e processos, que garante o alinhamento entre a
área de TI e os objetivos e estratégias da organização.”
1 http://www.isaca.org/about-isaca/it-governance-institute/pages/default.aspx

94
Você como Gestor de TI aplica a Governança de TI no seu local de trabalho?
( ) Aplica Totalmente
( ) Aplica Parcialmente
( ) Não se Aplica
( ) Não sei Responder
5. Você como Gestor de TI tem as atribuições voltadas somente para a parte de Planejamento e Governança?
( ) Sim. As atribuições são somente com a parte de Planejamento e Governança.
( ) Não. Eu divido essas atribuições com mais outras funções pertinentes a TI em
geral.
( ) Não sei Responder.
6. Em relação ao quantitativo da força de trabalho da equipe de TI atuando no seu
Campus/Reitoria.
( ) É totalmente completa, atende as expectativas com sucesso.
( ) É parcialmente completa, atende as expectativas na maioria das vezes.
( ) É totalmente incompleta, falta muito para atender as expectativas.
( ) É um caos, será necessário uma reformulação geral para atender o mínimo das
expectativas.
7. Quando surge uma nova demanda para o desenvolvimento de aplicações de TI no seu
Campus/Reitoria, qual é o tempo médio para atender a essa demanda?
( ) de 3 a 5 meses
( ) de 6 a 11 meses
( ) de 12 a 17 meses
( ) de 18 a 24 meses
( ) Mais de 24 meses
( ) Não é desenvolvido nenhum tipo de aplicação de TI
8. Quando surge uma nova demanda para a aquisição de licenças de softwares proprietários no seu Campus/Reitoria, qual é o tempo médio para atender a essa demanda?
( ) de 6 a 11 meses
( ) de 12 a 17 meses
( ) de 18 a 24 meses
( ) Mais de 24 meses
9. Quando surge uma nova demanda por ativos de rede no seu Campus/Reitoria, qual é
o tempo médio para atender a essa demanda?
( ) de 6 a 11 meses
( ) de 12 a 17 meses

95
( ) de 18 a 24 meses
( ) Mais de 24 meses
10. Quais são os maiores empecilhos encontrados na hora de concretizar novas contratações de soluções de TI, como ativos de rede ou licenças de software, para seu
Campus/Reitoria? (Pode escolher mais de uma opção)
( ) Restrições Orçamentárias.
( ) Planejamento da Contratação.
( ) Falta de apoio da alta direção.
( ) Levantamento da Oficialização da Demanda.
( ) Processo Burocrático e demorado.
11. Você como Gestor de TI tem o controle total sobre o gerenciamento e monitoramento
do Datacenter do seu Campus/Reitoria?
( ) Tenho o controle Total.
( ) Tenho apenas o controle Parcial.
( ) Não tenho ferramentas para o controle Total.
( ) Não sei Responder.
12. Quais são os principais serviços e aplicações de TI disponibilizados no Datacenter
do seu Campus/Reitoria? (Pode escolher mais de uma opção)
( ) Aplicações WEB;
( ) Backup e Armazenamento de Arquivos;
( ) Serviços de DNS;
( ) Serviços de Autenticação Centralizada (Active Diretory / LDAP);
( ) Aplicações para ambientes de Ensino a Distância (EAD);
( ) Outros;
13. De acordo com National Institute of Standards and Technology (NIST)2 , "A Computação em Nuvem permite o acesso ubíquo, onde a rede está disponível sob demanda
a um grupo compartilhado de recursos computacionais configuráveis, como servidores, storages, redes e processamento, com um rápido provisionamento e com
esforço mínimo por parte do provedor de serviços." Na sua opinião como Gestor de
TI esse modelo de Computação poderia contribuir para disponibilização de serviços
e aplicações de TI sob demanda no seu Campus/Reitoria?
( ) Poderia contribuir em grande parte na disponibilização de serviços e aplicações de
TI.
( ) Poderia contribuir parcialmente na disponibilização de serviços e aplicações de TI.
( ) A contribuição seria somente em um nicho específico de serviço ou aplicação de
2 http://www.nist.gov/itl/cloud/

96
TI.
( ) Não sei Responder
14. De acordo com o SERPRO3 , "A infraestrutura de uma Nuvem comunitária é compartilhada por várias organizações que partilham interesses como a missão, requisitos de
segurança, políticas, entre outros." Na sua opinião esse modelo de implantação em
Nuvem poderia vir a contribuir de alguma maneira no seu Campus/Reitoria?
( ) Sim, contribuiria de uma forma bastante eficiente na prestação de diversos serviços
de TI.
( ) Sim, poderia contribuir de alguma forma na prestação de alguns serviços de TI.
( ) Esse modelo de implantação não iria trazer nenhum tipo de impacto na prestação
de serviços de TI.
( ) Não sei opinar sobre esse modelo de implantação em Nuvem.
15. Segundo a Amazon4 , "A Computação em Nuvem pode prover Infraestrutura como
Serviço (IaaS), Software como Serviço (SaaS) e Plataforma como Serviço (PaaS),
com um alto poder de escalabilidade e por um preço justo." Na sua opinião qual
desses serviços seria mais útil para auxiliar na prestação de serviços de TI no seu
Campus/Reitoria? (Pode escolher mais de uma opção)
( ) IaaS - Infraestrutura como Serviço
( ) SaaS - Software como Serviço
( ) PaaS - Plataforma como Serviço
( ) Não sei opinar sobre esses modelos de serviço.
16. Um estudo elaborado pelo chefe de informações da Casa Branca Vivek Kundra
(2011) "Estratégia Federal de Computação em Nuvem", afirma que a Computação em
Nuvem pode melhorar substancialmente os serviços e aplicações de TI prestados aos
órgãos do Governo Federal Americano. Esses benefícios podem ser a diminuição dos
custos com aquisição de equipamentos, eficiência, agilidade e inovação na prestação
de serviços de TI. Na sua opinião como Gestor de TI o que você acha desse estudo?
( ) Concordo totalmente, realmente esse modelo de computação pode trazer diversos
benefícios.
( ) Concordo parcialmente, esse modelo pode trazer somente alguns tipos de benefícios.
( ) Acredito que esse modelo de computação não traga nenhum tipo de benefício.
( ) Não sei opinar sobre este estudo.

3 https://www.serpro.gov.br/inovacao/computacao-em-nuvem
4 https://aws.amazon.com/pt/