Metas para Adoção de Computação em Nuvem na APF

cações por fornecedores e empresas privadas. O artigo deixa evidente que nos casos em que os órgãos da APF não forem capazes de ofertarem a prestação de serviços de redes de telecomuni- cações ou de tecnologia da informação, estes mesmos serviços poderão ser contratados junto a empresas e fornecedores privados.

A partir da realização dos estudos e consultas a essas leis, instruções normativas, e portarias que regem os serviços de redes de telecomunicações na APF, é que foi tomada a decisão de elaborar o Catálogo de Boas Práticas para adoção da Computação em Nuvem como forma de prover uma infraestrutura de TI adequada para implantação do sistema de processo eletrônico nacional PEN aos órgãos da APF.

4.2

Metas para Adoção de Computação em Nuvem na APF

Para elaborar as metas a serem atingidas no Catálogo de Boas Práticas foi necessário, em um primeiro momento, identificar em qual nível do planejamento estratégico da APF seria realmente necessário atuar para que a adoção de práticas de Computação em Nuvem ocorra com sucesso. A Figura4.1demonstra a relação entre o planejamento estratégico e o PDTI de um órgão da APF.

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF 59 O Plano Diretor de Tecnologia da Informação (PDTI) é o principal responsável por fazer o alinhamento entre as estratégias de negócio de uma organização e os recursos de TI. Essa integração é que habilita a TI a apoiar as estratégias organizacionais mais efetivamente, permitindo que a TI formule suas estratégias, organize seus processos e, consequentemente, determine os investimentos e recursos humanos em TI orientados sempre pela estratégia de negócios.

O nível estratégico já é bem definido pela alta direção e, na maioria das vezes, vem apenas como um "cumpra-se" para a equipe de planejamento tático de TI, portanto a tomada de decisões desse nível vem sempre da cúpula composta pela alta direção. Já o nível tático é o responsável por elaborar, gerenciar e fornecer os subsídios necessários para a concretização das demandas advindas da estratégia do negócio.

O nível operacional é o que vai ficar responsável por cumprir e executar os planos de ações elaborados pelos envolvidos no nível de planejamento tático de TI. Como ainda não existem métodos específicos para a adoção de práticas de Computação em Nuvem na APF, é justamente no nível tático que será elaborado o Catálogo de Boas Práticas para o uso desse novo modelo de Computação, que poderá permitir a utilização de uma infraestrutura de TI escalável e eficiente para a implantação do sistema PEN nos órgãos da APF. A Tabela4.1demonstra de forma resumida quais são as metas a serem alcançadas neste trabalho, com a elaboração de um catálogo.

Metas para adoção de Computação em Nuvem na APF

Metas Catálogo de Boas Práticas

Gerenciar riscos de Governança e questões legais em Computação em Nuvem

Atribuir normas que abordem a utilização de Computação em Nuvem para APF e avaliar os riscos de utilização de provedores de Nuvem

para proteger dados confidenciais Controle de Operações em Datacenters e

Recuperação de Desastres

Avaliar a arquitetura de Datacenter nos provedores de Nuvem fundamentando principalmente na continuidade do negócio e em possíveis recuperações de

desastres para a estabilidade a longo prazo Monitoramento dos recursos computacionais

e notificações de incidentes

Elaborar os critérios de gerenciamento e utilização dos recursos computacionais nos provedores de Nuvem com a detecção e notificação dos incidentes Atribuir forma de bilhetagem básica contemplando

a utilização de um domínio/conta

Desenvolver uma equação para bilhetagem básica que forneça o mapeamento entre os recursos utilizados e o gasto em Real (R$)

Tabela 4.1: Metas para adoção de Computação em Nuvem na APF

A Governança de TI na APF baseia-se em um conjunto de leis, políticas e tecnologias que direcionam a forma de administrar os recursos de TI que serão utilizados para suprir uma determinada demanda advinda da administração. Uma boa Governança baseia-se na aceitação e cumprimento dessas normas com processos de segurança da informação bem projetados para alcançar o objetivo de um negócio sustentável, escalável e principalmente com investimentos de baixo custo.

O modelo de oferta de serviços de Computação em Nuvem na APF terá que estar em conformidade com as principais legislações que regem este assunto, que são o Decreto no8.135, de 4 de novembro de 2013, a Portaria Interministerial no141, de 5 de maio de 2014, e a Norma Complementar no14/IN01/DSIC/GSIPR, de 3 de janeiro de 2012, que diz respeito as diretrizes

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF 60 relacionadas à segurança da informação e comunicações para o uso de Computação em Nuvem nos órgãos e entidades da APF (EGTIC,2014).

Para elaborar o Catálogo de Boas Práticas na contratação de serviços de Computação em Nuvem na APF foi necessário identificar os principais fatores relevantes para a estratégia de negócio e que foram incluídos na legislação definida pela (EGTIC,2014) para que, partindo desses critérios, fosse elaborado o catálogo para a adoção de práticas de Computação em Nuvem em órgãos da APF. Os principais critérios abordados para o modelo de Computação em Nuvem podem ser elencados da seguinte maneira:

 Os equipamentos e programas utilizados em serviços de Computação em Nuvem terão que ter obrigatoriamente características técnicas que permitam a auditoria para garantir a autenticidade, confidencialidade e integridade dos dados e informações.  Os Datacenters responsáveis pela infraestrutura de Nuvem terão que estar hospedados

ou possuir um site de backup preferencialmente em território Brasileiro.

 Disponibilização de ferramentas que garantam a prevenção de ataques, detecção de intrusão e códigos maliciosos ao acesso dos serviços que utilizam a Internet.  Disponibilização de ferramenta que garanta o controle de acesso e gerenciamento de

identidade dos usuários.

 Fornecimento de ferramentas gerenciais para o monitoramento do tráfego da rede e uso dos recursos computacionais.

 Adoção de padrões de interoperabilidade do Governo Eletrônico definidos pela APF disponíveis na arquitetura e-PING4.

 Aplicação de penalidades e multas em caso de descumprimento das normas de incidentes de segurança que vierem a ocorrer de forma intencional, ou ainda por omissão.

 Disponibilização de ferramentas e tecnologias necessárias para migração de ambiente dos serviços e aplicações hospedados em provedores de Nuvem.

 Garantia de acesso e disponibilidade dos dados e informações somente a pessoas estritamente autorizadas.

 Definição de níveis de acordo de serviços SLAs que garantam a disponibilidade dos serviços essenciais, com a aplicação de multas em caso de descumprimento.

 Desenvolvimento de uma equação de bilhetagem básica que contemple o mapeamento entre o uso e Real(R$).

4.2. METAS PARA ADOÇÃO DE COMPUTAÇÃO EM NUVEM NA APF 61 Esses são os principais itens a serem observados e que estão intrinsecamente relacionados ao gerenciamento dos riscos de Governança e Segurança de Informação nos casos de contratações de serviços de Computação em Nuvem na APF. Como forma de satisfazer os requisitos fun- cionais referentes a estes itens será apresentado um Catálogo de Boas Práticas para adoção da Computação em Nuvem na APF.

De acordo com o padrãoISO/IEC20000-2:2012ISO/IEC(2012) é de extrema importân- cia que seja elaborado um guia de diretrizes contendo as orientações para a aplicação de um sistema de gerenciamento de serviços. Para satisfazer aos padrões de qualidade propostos neste trabalho e também para facilitar o entendimento por parte dos Gestores de TI que vão estar diretamente envolvidos na implantação do sistema PEN, será apresentado um quadro com as principais diretrizes a serem seguidas nas contratações de serviços de Computação em Nuvem na APF. A Figura4.2aborda o quadro com os principais assuntos que serão tratados no Catálogo de Boas Práticas.

Figura 4.2: Orientações da aplicabilidade do Catálogo de Boas Práticas

No catálogo serão detalhados itens como Governança, Segurança da Informação, Níveis de Acordo de Serviço (SLAs), Bilhetagem, além do Gerenciamento e Monitoramento dos recursos computacionais. A Figura4.2demonstra exatamente o guia de orientações com as etapas a serem cumpridas pelos Gestores de TI em contratações de serviços de Computação em Nuvem na APF.