Realizada a análise dos critérios extraídos da literatura pesquisada, é chegado o momento de compará-los com a finalidade de encontrar semelhanças e diferenciais de cada uma das propostas estudadas. Esta comparação atende à segunda etapa do planejamento da análise de conteúdo que possui a finalidade de descobrir as relações presentes nos critérios descobertos das literaturas estudadas.
Elaborando princípios para a adoção de computação em nuvem, a maioria dos critérios encontrados no material da ISACA está presente em um ou mais dos elementos encontrados nas demais bibliografias estudadas.
A leitura do Guia ARA demonstra que a preocupação é maior com aspectos técnicos e que também há uma especial atenção com a segurança da informação, como não poderia deixar de acontecer em um guia elaborado por uma associação que reúne profissionais que trabalham com dados e informações. Consequentemente, os critérios encontrados no Guia ARA também procuram avaliar questões técnicas com ênfase na segurança da informação.
Conforme afirmado anteriormente, o modelo norte-americano apresenta importante contribuição a esta pesquisa por se tratar de um modelo com a finalidade de atender a um governo que possui potencial de acirrar a concorrência entre os provedores e, dessa forma, fazer com que os serviços prestados pelo mercado tenham maior qualidade e menor custo.
As diretrizes da Presidência da República para o uso de computação em nuvem na APF dedica atenção aos aspectos relacionados à segurança da informação e de comunicações e também fornece uma importante contribuição nesta área.
Analisados dessa forma, as quatro referências apresentam contribuições semelhantes quando tratam dos principais riscos associados ao paradigma de computação em nuvem, no entanto, também são encontradas características específicas que visam atender a setores distintos. Assim, as referências podem ser vistas de forma complementar, contribuindo, portanto, para que sejam identificados os critérios adequados para a avaliação da capacidade dos órgãos da APF de adotarem a computação em nuvem.
Conforme especificado no planejamento da análise de conteúdo, o Quadro 7 mostra a relação entre os critérios encontrados em cada uma das publicações analisadas neste trabalho.
1. Migração como estratégia organizacional 1. Classificação das informações A5 C2
D7 1. Identificação dos riscos de segurança
A3
B2 1. Alinhamento às normas de SIC C8
2. Avaliação do custo-benefício B7 C10 D8 2. Identificação de riscos de segurança A3 C1
D2 2. Classificação dos dados
A5 B1 D7 2. Alinhamento às diretrizes de gestão de riscos A3 B2 B3 3. Avaliação do risco organizacional B2 B10 B11 C1 D2 3. Desenvolvimento de respostas aos riscos
A4 D2
D3 3. Mapeamento dos aplicativos organizacionais
A6 3. Alinhamento às diretrizes de gestão de continuidade de negócios B3 4. Integração entre equipes de TI B3 B6 C8
4. Garantia de qualidade das informações
A5 D6
D10 4. Conhecimento do mercado
4. Alinhamento da infraestrutura da nuvem às normas vigentes C5
5. Segurança da Informação B1 B4 B12 C2 D5 D6 D7 D10 5. Identificação de legislações pertinentes D5 C11 5. Adequação da infraestrutura interna
D4 5. Garantias legais sobre a
propriedade das informações A5 B5
6. Eficácia dos
aplicativos C3 6. Alinhamento do contrato entre provedor e organização A4 C8 6. Capacitação dos gerentes de TI 6. Garantias contratuais sobre as informações A5 B4 7. Cálculo do custo total da
migração
A2
7. Gerência de mudanças eficiente 7. Classificação das informações A5 B1 C2 8. Monitoramento e auditoria do
ambiente
C12
8. Existência de ANS adequados A4 B6 D1
8. Conhecimento do valor do ativo de
informação A2 B7
9. Procedimento para deixar o
provedor C9 9. Utilização de padrões técnicos B9 9. Controle de acesso A3 B10 10. Segurança física adequada
no provedor A3 D9 10. Plano para obtenção de valor A3 10. Conhecimento da localização física onde os dados se hospedarão A5 B4 11. Existência de recursos
técnicos A3 11. Preparo da TI para contratar e gerenciar serviços B5 12. Gerência de acesso
adequada A5 12. Monitoramento adequado do ambiente A5 B8
Para considerar o relacionamento entre os critérios, foram avaliadas as descrições das atividades associadas por cada publicação. A avaliação apenas das descrições dos critérios, poderia levar a interpretações erradas, pois nem sempre a semelhança dos títulos significa que a mesma avaliação deve ser feita. Da mesma forma, a diferença entre a profundidade das atividades que cada um sugere pode mascarar a semelhança entre o que deve ser avaliado.
A partir da análise dos dados do Quadro 7 se compreende melhor que existem critérios que são mais amplos que outros. Exemplo disto é o que trata da segurança da informação (A5) extraído dos princípios ISACA. Ele possui relacionamento com diversos outros de outras propostas, dentre elas três são do Guia ARA, que detalha mais o assunto. Outro exemplo é o que trata da avaliação do risco organizacional (A3), também presente nos princípios ISACA, que possui relacionamento com cinco elementos das outras três propostas.
Por outro lado, também existem critérios que não possuem relacionamentos com outros. Estes podem ser vistos como fatores que surgiram devido às diferentes perspectivas de cada proposta, conforme já explicado, mas isso não representa motivo para serem desconsiderados de uma análise futura para a escolha de critérios adequados à APF. Dessa forma, são exemplos de fatores sem relacionamentos com outros: o que trata do conhecimento do mercado (C4) do modelo norte-americano e o de migração como estratégia organizacional (A1) dos princípios ISACA.
O estudo da literatura selecionada e da governança de TI nos permite definir categorias a priori, conforme preconiza a análise de conteúdo, segundo Bardin (2010). As categorias definidas foram: estratégia organizacional, avaliação do custo- benefício, infraestrutura de TI, segurança da informação, contrato e gerenciamento de serviços, e operação na nuvem.
Após a identificação das categorias de critérios presentes na literatura foi possível identificar as subcategorias, que foram definidas a posteriori, também segundo Bardin (2010). A classificação dos critérios encontrados em categorias atende à terceira etapa da análise de conteúdo planejada que possui a finalidade de reconhecer os critérios que contribuem para o mesmo fim.
Assim, é possível verificar que alguns critérios descobertos se encaixam como subitens de outros, sendo por isso mais fáceis de serem averiguados de forma objetiva em uma organização.
Dessa forma, é possível criar uma hierarquia entre os elementos encontrados e que estão presentes no quadro 5. Como exemplo disto, vamos pegar o elemento presente nos princípios ISACA identificado como A2: avaliação do custo-benefício. Este elemento possui relação com três outros: cálculo do custo total da migração (B7), plano para a obtenção de valor (C10) e conhecimento do valor do ativo de informação (D8). No entanto é possível notar que os últimos três são subtipos do primeiro, podendo ser compreendidos como passos para que se obtenha o cálculo do custo total da migração, que é de difícil confirmação, se analisado de forma isolada.
Outro exemplo semelhante ao anterior é o da cadeia hierárquica que se inicia com a segurança da informação (A5), também presente nos princípios ISACA. Podem ser compreendidos como passos para a sua a construção os elementos: classificação das informações (B1), garantia de qualidade das informações (B4), gerência de acesso adequada (B12), classificação das informações (C2), garantias legais sobre a propriedade das informações (D5), garantias contratuais sobre as informações (D6), classificação das informações (D7) e conhecimento da localização física onde os dados serão hospedados (D10).
Os itens: avaliação do risco organizacional (A3), alinhamento às normas de SIC (D1) e alinhamento às diretrizes de gestão de continuidade de negócios (D3), podem ser agrupados, pois todos tratam de assuntos relacionados à migração como estratégia organizacional (A1).
Já os itens: existência de recursos técnicos (B11), mapeamento dos aplicativos organizacionais (C3), adequação da infraestrutura interna (C5), utilização de padrões técnicos (C9) e alinhamento da infraestrutura da nuvem às normas vigentes (D4) estão alinhados e tratam de infraestrutura de TI.
Os itens: identificação de legislações pertinentes (B5), alinhamento do contrato entre provedor e organização (B6), conhecimento do mercado (C4), capacitação dos gerentes de TI (C6) e existência de ANS adequados (C8), também estão alinhados e são entendidos como tarefas para que a TI contrate e gerencie serviços (C11), citado pelo modelo norte-americano.
Por último, os elementos: integração entre equipes de TI (A4), eficácia dos aplicativos (A6), desenvolvimento de respostas aos riscos (B3), monitoramento e auditoria do ambiente (B8), procedimento para deixar o provedor (B9), gerência de
mudanças eficiente (C7) e monitoramento adequado do ambiente (C12) tratam da operação na nuvem, assunto tratado pelo modelo norte-americano.
O Quadro 8 ilustra as cadeias de hierarquia explicadas anteriormente. Foram excluídos da relação os elementos que indicam a repetição de atividades como a classificação das informações (B1) do Guia ARA e a classificação dos dados (C2) do Modelo norte-americano.
Quadro 8: classificação dos critérios segundo a categoria
Categoria Critérios
Estratégia organizacional
Alinhamento às diretrizes de gestão de continuidade de negócios Avaliação do risco organizacional
Garantias legais sobre a propriedade das informações Alinhamento às normas de SIC
Avaliação do custo- benefício
Cálculo do custo total da migração Plano para obtenção de valor
Conhecimento do valor do ativo de informação
Infraestrutura de TI
Existência de recursos técnicos
Mapeamento dos aplicativos organizacionais Adequação da infraestrutura interna
Utilização de padrões técnicos
Alinhamento da infraestrutura da nuvem às normas vigentes
Segurança da informação
Classificação das informações
Garantia de qualidade das informações Segurança física adequada no provedor Gerência de acesso adequada
Identificação dos riscos de segurança
Alinhamento às diretrizes de gestão de riscos Controle de acesso
Conhecimento da localização física onde os dados se hospedarão Contrato e
gerenciamento serviços
Identificação de legislações pertinentes
Alinhamento do contrato entre provedor e organização Conhecimento do mercado
Capacitação dos gerentes de TI Existência de ANS adequados
Operação da Nuvem
Integração entre equipes de TI Eficácia dos aplicativos
Desenvolvimento de respostas aos riscos Monitoramento e auditoria do ambiente Procedimento para deixar o provedor Gerência de mudanças eficiente Fonte: elaboração do autor
Após a verificação do Quadro 8, é possível perceber que há uma grande quantidade de critérios concentrados na área de segurança da informação. Já a avaliação de custo-benefício possui poucos critérios associados. Conforme dito anteriormente, uma avaliação mais aprofundada pode recomendar a utilização de outros fatores para a melhor averiguação de determinada matéria. Em se tratando de APF, ainda podem ser verificados que alguns fatores são dispensáveis.
5 MODELO PARA A MENSURAÇÃO DA VIABILIDADE DO ÓRGÃO EM ADOTAR A COMPUTAÇÃO EM NUVEM
Com base nos estudos e análises realizados na literatura sobre os riscos, as recomendações e os cuidados a serem observados com a utilização da computação em nuvem, entende-se que uma avaliação, de como a área de TI de uma determinada organização está, se faz necessária para que se apontem seus pontos fortes, para que sejam preservados desta forma, e, principalmente, seus pontos fracos, para que sejam fortalecidos antes que o negócio seja colocado em risco com a adoção do novo paradigma.
Assim, o estabelecimento de questões relevantes, dos pontos de vista dos desafios que devem ser enfrentados e do tipo de organização que se pretende investigar torna-se primordial para auxiliar tais organizações a utilizarem a computação em nuvem com segurança.
Conforme já descrito, o objetivo deste trabalho é propor critérios relevantes para serem avaliados por órgãos da Administração Pública Federal – APF – no momento em que pretendem utilizar serviços SaaS. Tais questões são apresentadas nesta seção e foram formuladas a partir dos critérios para adoção da computação em nuvem encontrados na literatura acadêmica, das práticas propostas por provedores de computação em nuvem do mercado e das características próprias dos órgãos da APF, dadas as legislações pertinentes e a avaliação de governança de TI realizada pelo TCU em 2012.