Já se passam mais de dois anos desde que o governo brasileiro estabeleceu a prioridade para a computação em nuvem na contratação de serviços e soluções de tecnologia. Porém, como em toda a mudança, a adaptação requer algum tempo e muita informação. Ir para a nuvem é mais do que adotar uma nova tecnologia. Implica em mudar a forma de mensurar, contratar e utilizar esse recurso. E dentre os pontos que mais despertaram a atenção, a segurança sempre foi destaque.

"A adoção da nuvem foi evolutiva. Inicialmente, buscamos parceiras 100% terceirizadas. Em seguida partimos para a internalização da capacidade de gerar serviços em nuvem, por meio das contratações centralizadas. E agora vivíamos a fase de substituir a atuação dos brokers externos para uma gestão própria de nuvem...", explica André.

Um reflexo disso é que o governo brasileiro buscou estabelecer uma série de medidas e regulamentações para garantir padrões, rotinas e modelos de adoção da nuvem em órgãos públicos. O Gabinete de Segurança Institucional da Presidência da República publicou, em 30 de agosto de 2021, a Instrução Normativa nº 5 (IN 05), que estabelece diretrizes para contratar e implementar soluções ou infraestrutura em nuvem. Para André Henrique Castro, Gestor de Tecnologia e Segurança do Ministério da Educação, o impacto da IN 05 é tão significativo que pode afetar o estágio atual da jornada para a nuvem de todo o setor público brasileiro. “A adoção da nuvem foi evolutiva. Inicialmente, buscamos parceiras 100% terceirizadas. Em seguida partimos para a internalização da capacidade de gerar serviços em nuvem, por meio das contratações centralizadas. E agora vivíamos a fase de substituir a atuação dos brokers externos para uma gestão própria de nuvem. Porém, com o advento da IN 05, foi preciso diminuir o ritmo da última etapa desse trabalho para se reavaliar processos, metodologias internas e, até mesmo, investimentos. Mas o mais importante, é acreditar no uso das tecnologias em nuvem e focar na sua aplicabilidade a partir de um plano institucional ou mesmo do setor de tecnologia”, explica André.

Segundo ele, a IN 05 é importante para provocar o debate e o amadurecimento, mas fica a dúvida se ao invés de fortalecer, ela não vai atrasar a jornada para a nuvem, a depender das características e momento de transição de cada órgão. E para que isso não aconteça, é fundamental o gestor se atentar para alguns pontos. Afinal, em seu texto oficial, a IN “dispõem sobre os requisitos mínimos de segurança da informação para utilização de soluções de computação em nuvem pelos órgãos e pelas entidades da administração pública federal”. Porém, mesmo que focada na segurança, a implicação dessa medida afeta muitas rotinas dos gestores de TI. Nesse artigo, vamos destacar aquelas que merecem maior atenção por promoverem mudanças significativas na adoção de nuvens privadas (infraestrutura de nuvem dedicada para uso exclusivo do órgão e de suas unidades vinculadas); nuvens comunitárias (que são dedicadas para uso exclusivo de uma comunidade, ou de um grupo de usuários de órgãos ou de entidades não vinculados); e nuvens públicas (infraestrutura de nuvem dedicada para uso aberto de qualquer organização).

Conheça as mudanças promovidas pela IN 05

O primeiro ponto de destaque a respeito da IN 05 é a proibição do uso de nuvens públicas para sistemas estruturantes. Isso significa dizer que nenhuma plataforma tecnológica gerenciada por um órgão central e que de suporte às atividades de variados órgãos setoriais, pode ser hospedada e operada nesse modelo de nuvem. Essa determinação é parte do Capítulo V da IN, que estabelece requisitos para a adoção segura de computação em nuvem.

No mesmo capítulo, fica determinado também a “obrigatoriedade do desenvolvimento de um ato normativo relacionado ao uso de computação em nuvem baseado na política de segurança do órgão”. Esse ato normativo é um conjunto de regras que deve ser estabelecido pelo próprio órgão contratante e baseado em sua política de segurança. De forma bastante específica, a IN define, inclusive, que cada órgão ou entidade deverá instituir uma equipe para elaboração e revisão do ato normativo, que deve ser constantemente atualizado.

O trato com os dados trafegados também merece destaque por parte da IN 05. Informações sigilosas não poderão ser tratadas em ambiente de computação em nuvem. Fica autorizado apenas o tráfego de informações ostensivas, restritas por legislação específica ou pessoal. O entendimento de que todos os dados devem estar hospedados em território brasileiro foi mantido. Porém, dados sem restrição de acesso passaram a poder contar com cópias de segurança fora do Brasil. Já para os dados pessoais, é preciso respeitar a LGPD (Lei Geral de Proteção e Dados).

O papel desempenhado pelo Gestor de Segurança da Informação merece diversos tópicos na IN 05. É dele a responsabilidade de realizar uma análise obrigatória de riscos e impacto de dados pessoais para todos os projetos e ações de migrações para nuvem.

Provedores de nuvem e brokers também têm responsabilidades bem definidas

Com relação às responsabilidades do provedor de nuvem, a IN estabelece obrigações bem definidas. Um ponto de atenção: as obrigações se estendem também para os brokers, que fazem a gestão multinuvem. A IN 05 imputa ao cloud broker a responsabilidade de cumprir a instrução normativa, assim como determina que toda a operação seja realizada de acordo com as melhores práticas de segurança.

Cabe também aos brokers a obrigatoriedade do registro e armazenamento de acessos, incidentes, eventos, sessões e transações por cinco anos. Ao mesmo tempo, fica negado o acesso pelo provedor de serviços ao ambiente de autenticação dos órgãos e instituições.

Nesse ponto cabe um destaque. São os contratantes que devem exigir o cumprimento das determinações, o que vai demandar atenção dos gestores. Por exemplo, quando for efetivada a contratação, o órgão ou entidade deverá prever no instrumento contratual que o provedor de cloud poderá ser responsabilizado, civil e administrativamente, por qualquer desconformidade nos provedores que ele representa.

Como atender a todas as determinações?

O ponto fundamental nessa questão é o conhecimento profundo da IN 05 e demais leis complementares. Contratar computação em nuvem demanda mais do que um estudo técnico e planejamento bem executados. E é nesse ponto que a escolha de um parceiro de confiança passa a ser fundamental.

“Em seguida, é preciso destrinchar os termos dessa instrução e buscar, se possível, o apoio de um parceiro que seja especialista no setor. Temos que entender que não estamos sozinhos no processo e precisamos buscar parceiros para auxiliar no desenho dessas ações. O papel de entidades como a RNP e o NasNuvens nesse processo é fundamental”, explica Castro.

Segundo André Henrique Castro, o primeiro passo é promover o alinhamento entre gestores e equipes para perfeito entendimento da IN 05. “Em seguida, é preciso destrinchar os termos dessa instrução e buscar, se possível, o apoio de um parceiro que seja especialista no setor. Temos que entender que não estamos sozinhos no processo e precisamos buscar parceiros para auxiliar no desenho dessas ações. O papel de entidades como a RNP e o NasNuvens nesse processo é fundamental”, explica. E mesmo com toda essa dinâmica, André faz questão de ressaltar que é preciso ainda entender que não será possível abarcar de forma imediata todas as determinações da IN 05. “Cabe aos gestores tomarem a decisão de unirem os grandes atores desse processo para se alcançar o nível de maturidade necessário para se atender de forma definitiva as determinações da Instrução”.

A escolha do parceiro é importante porque cabe ao provedor e ao broker garantir o suporte para que o contratante entenda e consiga desempenhar todas as determinações estabelecidas. Nunca é demais ressaltar que boa parte das responsabilidades são dos órgãos contratantes. E com responsabilidades compartilhadas, fica difícil isentar gestores e empresas de uma decisão mal tomada.

Se você quer saber mais sobre o tema, fique atendo ao 60 Minutos NasNuvens especial sobre a IN 05 que será realizado em breve. Será a oportunidade de esclarecer outras dúvidas que não tenham sido abordadas nesse artigo.