Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Sidney Chaves
Orientador: Prof. Dr. Cesar Alexandre de Souza
Verso Corrigida
(verso original disponvel na Unidade que aloja o Programa)
SO PAULO
2011
SIDNEY CHAVES
Verso Corrigida
(verso original disponvel na Unidade que aloja o Programa)
SO PAULO
2011
ii
FICHA CATALOGRFICA
Elaborada pela Seo de Processamento Tcnico do SBD/FEA/USP
Chaves, Sidney
A questo dos riscos em ambientes de computao em nuvem /
Sidney Chaves. -- So Paulo, 2011.
150 p.
Dissertao (Mestrado) Universidade de So Paulo, 2011.
Orientador: Cesar Alexandre de Souza.
1. Tecnologia da informao 2. Computao em nuvem 3. Administrao de risco 4. Tcnica Delphi I. Universidade de So Paulo. Faculdade
de Economia, Administrao e Contabilidade II. Ttulo.
CDD 658.4038
iii
iv
Agradecimentos
Meu sincero agradecimento, em primeiro lugar, ao Prof. Dr. Cesar Alexandre de Souza,
orientador deste trabalho, pela oportuna sugesto do tema e pelas intervenes sempre
precisas e didticas ao longo dos prolongados meses durante os quais este estudo se
desenvolveu.
Agradeo tambm ao Prof. Dr. Hiroo Takaoka, pela valiosa contribuio quando da
participao na banca do exame de qualificao, com intervenes e sugestes que, tenho
certeza, fizeram por melhorar enormemente a qualidade deste trabalho.
Meu agradecimento, ainda, aos demais professores das disciplinas que cursei ao longo do
Programa de Mestrado, cujos ensinamentos em muito contriburam para que mais esta etapa
da minha histria acadmica pudesse ser cumprida.
Da mesma forma, agradeo Lcia Abe, pelo incessante apoio, pela infindvel pacincia e,
sempre atenta, pelas inmeras dicas e sugestes de textos e eventos sobre computao em
nuvem.
Como no poderia deixar de ser, meus agradecimentos aos participantes do painel Delphi que
propiciou a obteno das informaes que viabilizaram este estudo aos executivos de
tecnologia da informao, cujos nomes devo, por compromisso, manter em anonimato e,
especialmente, aos Profs. Drs. Antonio Carlos Gastaud Maada, Jakow Grajew e Manoel
Veras de Souza Neto.
Por fim, mas talvez em primeiro por importncia, meu sincero e carinhoso obrigado
Mnica, minha esposa, e Mariana, minha filha, por terem suportado minha ausncia e pouca
ateno enquanto estive envolvido com este estudo e por me terem retribudo com dedicao,
incentivo e apoio incondicionais.
vi
RESUMO
Este documento apresenta e descreve o trabalho de pesquisa realizado com vistas a
estabelecer recomendaes destinadas a auxiliar consumidores de servios de computao em
nuvem a tratar a questo dos riscos inerentes a este ambiente, de modo tal a poder contratar
servios desta natureza com grau aceitvel de risco. Para atender a este objetivo e aos demais
objetivos secundrios definidos, o estudo foi conduzido em cinco fases: reviso da literatura
relativa computao em nuvem, escolha e estruturao do mtodo de pesquisa, aplicao do
mtodo de pesquisa, proposio das recomendaes para o tratamento dos riscos e elaborao
das concluses. A reviso da literatura compreendeu um amplo levantamento bibliogrfico
sobre computao em nuvem, com nfase na sua definio, nos modelos de referncia e nos
tpicos barreiras, benefcios e riscos. A escolha do mtodo de pesquisa envolveu o processo
de seleo do Delphi, acompanhado por outro extenso levantamento bibliogrfico, desta feita
sobre este mtodo, e foi seguida da definio da sistemtica a ser adotada para aplic-lo
especificamente nesta pesquisa; para aplicar o Delphi, foi escolhida a modalidade ranking
form, por meio da qual se tornou possvel determinar, aps a realizao de cinco rodadas do
painel e contando com a participao de um grupo de especialistas formado por acadmicos e
profissionais de tecnologia da informao, rankings para as barreiras, os benefcios e os riscos
associados computao em nuvem. A partir do ranking dos riscos, foram estabelecidas as
recomendaes destinadas a satisfazer ao objetivo principal da pesquisa, que se traduzem, em
linhas gerais, na indicao de quais riscos potenciais devem ser observados e tratados com
maior grau de ateno pelas instituies, organizaes e executivos de tecnologia da
informao que pretendam dar seus primeiros passos no universo da computao em nuvem,
bem como por aqueles que, j devidamente inseridos neste ambiente, queiram ou tenham a
necessidade de rever conceitos e posies assumidos. Por fim, as concluses e consideraes
finais contemplaram a anlise dos resultados obtidos no painel Delphi relativamente s
barreiras e aos benefcios. Como contribuio maior, este estudo oferece, acima de tudo, uma
viso realista acerca da computao em nuvem e coloca disposio daqueles que
efetivamente por ela se interessam, por vontade prpria ou dever de ofcio, um rol de
observaes e recomendaes teis e oportunas.
Palavras-chave: Tecnologia da informao, Computao em nuvem, Administrao de risco,
Tcnica Delphi.
vii
ABSTRACT
This report presents and depicts the research carried out in order to find out recommendations
that may possibly assist consumers of cloud computing services to deal with risks intrinsic to
that architecture, so that consumers can be able to contract those kinds of services within an
acceptable level of risk. The research comprised five phases to satisfy this main objective and
also the secondary ones set up for it: review the literature related to cloud computing, choose
and configure the research method, run the research method, find out the recommendations
and make conclusions. The review of the literature consisted of an extensive bibliography
research about cloud computing, putting emphasis on its definitions and reference models and
on three other connected topics: barriers, benefits and risks. The choice of the research
method encompassed the selection of the Delphi method seconded by another wide
bibliography research, this time focused on the method itself, and was followed by the
configuration of the Delphi method in order to get a script to be adopted to make properly use
of the method in this research; to apply the Delphi method, it was chosen its "ranking form",
that made possible, after five rounds and counting with the involvement of a group
comprising academic people and information technology professionals, to establish rankings
for barriers, benefits and risks, all related to cloud computing. Based on the ranking of risks,
the recommendations destined to satisfy the research's main objective were thought up; in
general, these recommendations can be viewed as indicatives of which potentials risks must
be observed and treated in an upper attention level by institutions, organizations and
information technology executives that intend to take their first steps toward cloud computing
universe, as long as by those companies and people that, despite by now inserted in that
architecture, want to or must review concepts and positions already took on. At last,
conclusions and final considerations were written, both derived from the analysis of the
results regarding barriers and benefits extracted from the Delphi panel. Above all, this study,
as its major contribution, offers a realistic view on the subject of cloud computing and puts a
list of useful and timely reflections and recommendations within reach of those who are
effectively interested in them, by proper will or due to duties.
Keywords: Information technology, Cloud computing, Risk management, Delphi method.
SUMRIO
Lista de Quadros......................................................................................................................... 3
Lista de Tabelas .......................................................................................................................... 4
Lista de Figuras .......................................................................................................................... 5
1 Introduo ............................................................................................................................. 7
1.1 Apresentao ................................................................................................................ 7
1.2 Questo de Pesquisa ................................................................................................... 10
1.3 Objetivos da Pesquisa ................................................................................................ 10
1.3.1 Objetivo Principal ........................................................................................... 10
1.3.2 Objetivos Secundrios .................................................................................... 10
1.4 Justificativa para o Estudo ......................................................................................... 11
1.5 Organizao da Pesquisa ............................................................................................ 12
2 Reviso da Literatura e Consideraes ............................................................................... 13
2.1 Computao em Nuvem ............................................................................................. 13
2.1.1 Histrico e Definies para Computao em Nuvem..................................... 13
2.1.2 Semelhanas nas Definies para Computao em Nuvem ........................... 16
2.1.3 Modelos de Referncia para Computao em Nuvem.................................... 17
2.1.4 Semelhanas, Divergncias, Pontos Fortes e Deficincias dos Modelos de
Referncia para Computao em Nuvem ....................................................... 20
2.1.5 Benefcios Potenciais Associados Computao em Nuvem ........................ 21
2.1.6 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem ........ 25
2.2 Risco e Gesto de Riscos ........................................................................................... 28
2.2.1 Definies para Risco ..................................................................................... 28
2.2.2 Definies e Roteiros para Gesto de Riscos ................................................. 30
2.2.3 Riscos Inerentes TI e Gesto de Riscos em TI ............................................ 35
2.2.4 Riscos Inerentes Computao em Nuvem ................................................... 40
2.2.5 Consideraes Sobre a Questo do Risco na Computao em Nuvem .......... 46
2.2.6 Gesto de Riscos na Computao em Nuvem ................................................ 47
2.2.7 Consideraes Sobre as Proposies Relativas Segurana e Gesto de
Riscos na Computao em Nuvem ................................................................. 51
3 Mtodo de Pesquisa ............................................................................................................ 53
3.1 O Mtodo Delphi: Definio e Histrico ................................................................... 53
3.2 Modalidades e Sistemticas de Aplicao do Mtodo Delphi ................................... 55
3.3 Exemplos de Aplicao do Mtodo Delphi ............................................................... 61
3.4 Justificativa para a Escolha do Mtodo Delphi .......................................................... 63
3.5 O Mtodo Delphi Aplicado a Este Estudo ................................................................. 66
4 Realizao do Painel Delphi ............................................................................................... 73
4.1 Esquematizao do Painel .......................................................................................... 73
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
LISTA DE QUADROS
Quadro 1 Definies para "Computao em Nuvem"........................................................... 14
Quadro 2 Definies de Acadmicos para "Computao em Nuvem" ................................. 14
Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem ............................. 17
Quadro 4 Benefcios Potenciais Associados Computao em Nuvem .............................. 24
Quadro 5 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem ............... 27
Quadro 6 Graus de Qualificao das Disciplinas Focais de Gesto dos Riscos da TI .......... 38
Quadro 7 Riscos de Origem Tcnica Presentes na Computao em Nuvem ........................ 45
Quadro 8 Consolidao dos Riscos Inerentes Computao em Nuvem............................. 46
Quadro 9 Princpios Prticos para Aplicao do Mtodo Delphi ......................................... 60
Quadro 10 Comparao Entre Sistemticas de Aplicao do Mtodo Delphi ...................... 67
Quadro 11 Dimensionamento de Painis Delphi .................................................................. 68
Quadro 12 Barreiras Potenciais Adoo da Computao em Nuvem No Privada
Indicadas pelos Painelistas ....................................................................................................... 77
Quadro 13 Benefcios Potenciais Decorrentes da Adoo da Computao em Nuvem No
Privada Indicados pelos Painelistas.......................................................................................... 77
Quadro 14 Riscos Potenciais Decorrentes da Adoo da Computao em Nuvem No
Privada Indicados pelos Painelistas.......................................................................................... 82
Quadro 15 Ranking de Riscos Potenciais Inerentes Computao em Nuvem No Privada
.................................................................................................................................................. 98
Quadro 16 Ranking de Barreiras Potenciais Adoo da Computao em Nuvem No
Privada .................................................................................................................................... 105
Quadro 17 Ranking de Benefcios Potenciais Decorrentes da Adoo da Computao em
Nuvem No Privada ............................................................................................................... 107
LISTA DE TABELAS
Tabela 1 Barreiras Mais Relevantes (Opinio dos Painelistas)............................................. 80
Tabela 2 Benefcios Mais Relevantes (Opinio dos Painelistas) .......................................... 81
Tabela 3 Riscos Mais Relevantes (Opinio dos Painelistas)................................................. 84
Tabela 4 Rankings das Barreiras Mais Relevantes................................................................ 85
Tabela 5 Rankings das Barreiras Mais Relevantes (Acadmicos) ........................................ 86
Tabela 6 Rankings das Barreiras Mais Relevantes (Profissionais de TI) .............................. 86
Tabela 7 Rankings dos Benefcios Mais Relevantes ............................................................. 87
Tabela 8 Rankings dos Benefcios Mais Relevantes (Acadmicos) ..................................... 88
Tabela 9 Rankings dos Benefcios Mais Relevantes (Profissionais de TI) ........................... 88
Tabela 10 Rankings dos Riscos Mais Relevantes ................................................................. 89
Tabela 11 Rankings dos Riscos Mais Relevantes (Acadmicos) .......................................... 90
Tabela 12 Rankings dos Riscos Mais Relevantes (Profissionais de TI) ............................... 90
Tabela 13 Rankings das Barreiras Mais Relevantes (Aps Reviso).................................... 91
Tabela 14 Rankings das Barreiras Mais Relevantes (Acadmicos Aps Reviso) ............... 92
Tabela 15 Rankings das Barreiras Mais Relevantes (Profissionais de TI Aps Reviso) .... 92
Tabela 16 Rankings dos Benefcios Mais Relevantes (Aps Reviso) ................................. 93
Tabela 17 Rankings dos Benefcios Mais Relevantes (Acadmicos Aps Reviso) ............ 94
Tabela 18 Rankings dos Benefcios Mais Relevantes (Profissionais de TI Aps Reviso) .. 94
LISTA DE FIGURAS
Figura 1 Estgios da Terceirizao de Servios de TI ............................................................ 8
Figura 2 Estimativa de Gastos com Computao em Nuvem ................................................. 9
Figura 3 Representao Grfica do Modelo do NIST para Computao em Nuvem ........... 19
Figura 4 Ofertas de Servios em Nuvens vs. Tecnologias de Acesso................................... 19
Figura 5 Representao Grfica do Cubo da Nuvem ............................................................ 20
Figura 6 Diagrama Explicativo das Situaes de Segurana e Perigo .................................. 28
Figura 7 Roteiro para Gesto de Riscos ................................................................................ 32
Figura 8 Modelo Ampliado para Gesto de Riscos............................................................... 32
Figura 9 Pirmide dos Riscos da TI ...................................................................................... 36
Figura 10 Etapas da Governana dos Riscos da TI ............................................................... 37
Figura 11 Processo de Gesto dos Riscos da TI.................................................................... 39
Figura 12 Sistemtica para Aplicao do Mtodo Delphi em 3 Ciclos ................................ 58
Figura 13 Sistemtica para Escolha de Especialistas para um Painel Delphi ....................... 60
Figura 14 Ciclos de Aplicao do Mtodo Delphi Neste Estudo .......................................... 73
Figura 15 Etapas Destacadas da Gesto dos Riscos da TI .................................................. 100
1.1
INTRODUO
Apresentao
Na busca por servios de Tecnologia da Informao, TI, com melhores relaes benefcio/
custo, as instituies e organizaes de negcios tm optado por mesclar servios de
provimento prprio com os adquiridos de terceiros. Neste ltimo decnio, cresceram e se
diversificaram de modo significativo tanto a procura quanto a oferta de servios de TI por
parte, respectivamente, de clientes em potencial e provedores dos mais diversos tipos.
De uma oferta, no passado, centrada em recursos de infra-estrutura e na cesso de direitos de
uso de aplicativos, o leque se abriu para servios da mais diversa natureza. Esta evoluo e
diversificao acabaram por propiciar o surgimento de servios contratveis sob demanda e
com a caracterstica de permitir aos tomadores optar por adquirir pacotes que englobam tanto
recursos de software quanto de hardware e de comunicao de dados, pacotes estes
secundados por compromissos de atendimento dentro de padres de nvel de servio. Nesta
formatao, torna-se indiferente aos tomadores dos servios o local onde fisicamente o
processamento ocorre ou mesmo onde os dados so armazenados, importando a
disponibilizao dos resultados acordados, com o nvel de atendimento pactuado.
A computao est se tornando uma utilidade e, uma vez mais, as regras econmicas que
determinam o modo de trabalhar e viver das pessoas esto sendo reescritas, semelhana do
que ocorreu no passado, por exemplo, com a eletricidade e a telefonia. Data centers operados
isoladamente por empresas esto sendo substitudos por servios providos num ambiente
comum, a Internet, por instalaes centralizadas de processamento de dados. Face s
vantagens econmicas do modelo de utilidades, as instituies e organizaes esto
repensando o modo pelo qual se dispem a comprar e usar a TI ao invs de destinar
volumes expressivos de recursos de caixa para adquirir computadores e programas, elas esto
considerando conectar-se a este novo ambiente. Trata-se de uma mudana to significativa
que promete no apenas impactar a funo de TI das instituies e organizaes, mas tambm
surpreender a indstria da computao como um todo (CARR, 2008).
ISP 1.0
Acesso
Internet
ISP 2.0
Acesso a
servidores
SaaS
Aplicativos e
servios baseados
em Internet
9
Figura 2 Estimativa de Gastos com Computao em Nuvem
2009 (Total = US$ 16,5 Bi)
Armazenagem
9%
Armazenagem
13%
Servidores
12%
Servidores
14%
Aplicativos
Operao
37%
Aplicativos
Operao
49%
Infra-estrutura
de Software
20%
Infra-estrutura
de Software
20%
Aplicativos
Desenvolvimento
10%
Aplicativos
Desenvolvimento
16%
10
1.2
Questo de Pesquisa
Dado o contexto acima apresentado, a questo de pesquisa considerada neste estudo foi:
"Como reconhecer e lidar com os riscos inerentes adoo da computao em nuvem, sob a
tica dos consumidores desta modalidade de servios?"
Para responder a esta questo, foram explorados em detalhe os conceitos de computao em
nuvem, de risco e de gesto de riscos e entendeu-se como adoo o ato voluntrio de adquirir
um determinado servio ou conjunto de servios agregados. No mbito das instituies e
organizaes de negcio, a adoo, via de regra, amparada por um processo formal de
aquisio, por conta do qual so feitas chamadas de fornecedores, cotaes de preos,
formalizao de contratos e outros processos correlatos.
1.3
1.3.1
Objetivos da Pesquisa
Objetivo Principal
O objetivo principal desta pesquisa pode ser enunciado como "fazer recomendaes com
vistas a auxiliar consumidores de servios de computao em nuvem a tratar a questo dos
riscos, ou seja, identific-los, compreend-los e preparar-se para gerenci-los, de modo tal a
poder, nesses ambientes, contratar servios com grau aceitvel de risco".
1.3.2
Objetivos Secundrios
11
1.4
Um estudo da natureza deste aqui proposto justifica-se, no momento presente, sob dois
distintos enfoques: o acadmico e o profissional.
No que diz respeito ao mundo acadmico, este trabalho vem preencher uma lacuna, dado que
no nos foi possvel encontrar, na pesquisa bibliogrfica realizada, nenhum outro esforo
assemelhado, seja no meio acadmico brasileiro seja no internacional. A pesquisa
bibliogrfica, empregando os argumentos "cloud computing" e "computao em nuvem",
abrangeu consultas s bases ProQuest, Scielo e EnANPAD e buscas no Google
(www.google.com). Os trabalhos e pesquisas identificados e analisados, ainda que bem
estruturados e consubstanciados, representam vises particulares e isoladas sobre os temas
aqui tratados, sem focar, entretanto, a comparao ou a convergncia de vises.
Em decorrncia, entendemos que este trabalho pode oferecer uma contribuio efetiva ao
tratamento das questes dos benefcios, barreiras e riscos que envolvem as ofertas de servios
em ambientes de computao em nuvem. Seno por outro motivo, este trabalho, no mnimo,
tem o mrito de produzir e disponibilizar um material relativo ao tema, til a pesquisadores e
acadmicos.
Por outro lado, sob o ponto de vista do ambiente profissional, h tambm no apenas uma
lacuna, mas toda uma diversidade de agentes, enfoques, terminologias e proposies
referentes aos temas objeto desta pesquisa, diversidade esta que j est a requerer, se no uma
padronizao, ao menos uma unificao, que possa proporcionar aos tomadores de servios
avaliarem de maneira mais homognea as ofertas que lhes so apresentadas.
12
1.5
Organizao da Pesquisa
Compreendeu uma segunda rodada de reviso da literatura, desta feita focando o mtodo
Delphi, adotado como instrumento metodolgico principal do estudo;
Abrangeu a anlise dos resultados obtidos no painel, relativamente aos riscos inerentes
computao em nuvem e culminou com a definio das recomendaes visando atender
ao objetivo principal estabelecido para a pesquisa.
A documentao produzida ao longo de cada uma das fases deste roteiro compe os distintos
captulos nos quais esta monografia est subdividida a partir deste ponto.
13
2.1
2.1.1
Computao em Nuvem
Histrico e Definies para Computao em Nuvem
Aymerich et al. (2008) afirmam que a expresso "computao em nuvem" foi empregada pela
primeira vez em 2006 pelo Chief Executive Officer, CEO, do Google, Eric Schmidt, para
referenciar a computao empregando os recursos da Internet. De fato, a literatura, tanto
acadmica quanto no-acadmica, no registra o emprego desta expresso antes de 2006.
Portanto, tenha sido ou no Schmidt o responsvel por cunhar a expresso, a realidade que
ela parece mesmo no ter sido referenciada em perodo anterior.
De todo modo, desde o seu surgimento, diversos autores, organizaes e instituies tm
procurado definir a expresso "computao em nuvem". Smith (2009) oferece um resumo de
definies propostas por organizaes e instituies de renome, definies estas que esto
reproduzidas no Quadro 1.
14
Quadro 1 Definies para "Computao em Nuvem"
Organizao
Definio
Gartner Group
Forrester
Research
The 451 Group "TI oferecida como servio, disponibilizada por meio de recursos independentes de
localizao fsica."
Wikipedia
International
"Plataforma que dinamicamente prov, configura, re-configura e libera servidores de
Business
acordo com as necessidades e que emprega grandes data centers e potentes servidores,
Machines, IBM nos quais hospeda aplicaes e servios para serem utilizados via Internet."
University of
California,
Berkeley
Por outro lado, recorrendo ao mundo acadmico, no so muito distintas das acima as
definies propostas em ensaios e pesquisas que abordam este tema. O Quadro 2 congrega
algumas definies deste tipo.
Quadro 2 Definies de Acadmicos para "Computao em Nuvem"
Ano Autor
Definio
2007 Weiss
15
Quadro 2 Definies de Acadmicos para "Computao em Nuvem" (cont.)
Ano Autor
Definio
2009 Gatewood
2009 Grossman
2009 Kim
2009 Smith
2009 Veras
____________________________
1
"Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of
configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be
rapidly provisioned and released with minimal management effort or service provider interaction."
16
Vale destacar ainda duas outras definies, pela aderncia que apresentam para com relao
do NIST. A primeira delas a da Cloud Security Alliance, CSA (2009), que abriu mo da sua
definio original para adotar na ntegra a do NIST. A outra a da F5 Networks (2009),
prestadora de servios de TI, que oferece uma definio derivada de um conjunto de outras
obtidas da literatura (entre as quais a do NIST se faz presente com destaque) e fruto de um
focus group realizado com profissionais de TI e com provedores de servios em nuvem; a
definio obtida, que, como se pode verificar, reproduz a do NIST na sua ltima parte, :
"Computao em nuvem um estilo de computao no qual recursos dinamicamente escalveis e
geralmente virtualizados so disponibilizados sob a forma de servios. Os consumidores no
necessitam possuir conhecimento, nem serem especialistas, nem tampouco exercer controle sobre
a infra-estrutura tecnolgica na nuvem. Alm disso, a computao em nuvem emprega um modelo
que viabiliza o acesso oportuno e sob demanda a um pacote compartilhvel de recursos
computacionais configurveis (por exemplo, redes, servidores, reas para armazenagem,
aplicativos e servios) que podem ser rapidamente provisionados e liberados com um esforo
mnimo de gesto ou de interao com o provedor dos servios." 2
2.1.2
____________________________
2
"Cloud computing is a style of computing in which dynamically scalable and often virtualized resources are
provided as a service. Users need not have knowledge of, expertise in, or control over the technology
infrastructure in the 'cloud' that supports them. Furthermore, cloud computing employs a model for enabling
available, convenient and on-demand network access to a shared pool of configurable computing resources
(e.g., networks, servers, storage, applications, services) that can be rapidly provisioned and released with
minimal management effort or service provider interaction."
17
No geral, as definies focam a questo dos servios em si, mais do que os aspectos tcnicos
que envolvem a infra-estrutura requerida para que as ofertas de servios se materializem.
Entre boa parte dessas definies, h pontos claros de convergncia, em particular em torno
das questes do compartilhamento de recursos externos, da escalabilidade, flexibilidade e
custo sob demanda.
Pela maneira como foi elaborada, fruto de um focus group realizado com profissionais de TI e
provedores de servios de computao em nuvem, a definio oferecida pelo F5 Networks se
apresenta como uma das mais completas, apesar de um tanto extensa.
Conforme j destacado, a definio do NIST assume um papel quase que de referncia, dada a
importncia deste rgo no meio governamental norte-americano e tambm ao fato de ser
constituda por norte-americanos ou radicados nos Estados Unidos boa parte dos autores e
instituies que tm se ocupado do estudo da computao em nuvem.
2.1.3
O NIST (op. cit.) prope um modelo de referncia para a computao em nuvem que
considera a existncia de trs distintas dimenses: (a) caractersticas essenciais, (b) ofertas de
servios e (c) modelos de implementao. Resumidamente, em cada uma dessas dimenses
pode-se destacar os aspectos que esto apresentados no Quadro 3.
Acesso amplo
rede
Pool de
recursos
18
Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem (cont.)
Dimenso/Item Detalhe
Caractersticas Essenciais (cont.)
Rpida
elasticidade
Servios
mensurveis
Ofertas de Servios
Software como Os servios disponibilizados so representados por aplicativos executados numa infraservio (SaaS) estrutura em nuvem e acessados via um browser; os consumidores no gerenciam essa
infra-estrutura, sejam redes, servidores, sistemas operacionais, reas de armazenagem
ou mesmo funcionalidades especficas dos aplicativos, exceto a definio de
determinados parmetros.
Plataforma
como servio
(PaaS)
Infra-estrutura Os servios disponibilizados so o provisionamento e uso de recursos de infracomo servio estrutura, como capacidade de processamento, reas de armazenagem, redes e outros
(IaaS)
recursos computacionais bsicos, de modo a possibilitar a execuo de aplicativos e
sistemas operacionais; os consumidores no gerenciam essa infra-estrutura, mas
controlam os sistemas operacionais, reas de armazenamento, aplicativos e, em alguns
casos, podem at mesmo configurar componentes (por exemplo, firewalls).
Modelos de Implementao
Nuvem
Privada
A infra-estrutura em nuvem utilizada por uma nica organizao, pode ser gerida por
ela ou por terceiros e pode estar ou no instalada em local prprio dessa organizao.
Nuvem
Comunitria
Nuvem
Pblica
Nuvem
Hbrida
19
Figura 3 Representao Grfica do Modelo do NIST para Computao em Nuvem
Caractersticas Essenciais
Acesso Amplo
Rede
Rpida
Elasticidade
Servios
Mensurveis
Auto-Servio
Sob Demanda
Agrupamento de Recursos
Ofertas de Servios
Software como
Servio (SaaS)
Plataforma como
Servio (PaaS)
Infra-estrutura como
Servio (IaaS)
Modelos de Implementao
Nuvem
Pblica
Nuvem
Privada
Nuvem
Hbrida
Nuvem
Comunitria
Aymerich et al. (op. cit.), por seu turno, endossam as trs dimenses propostas pelo NIST e
consideram ainda a existncia de um tipo adicional de oferta de servios no modelo que
propem, tipo este que denominam "database as a service" e identificam pela sigla DaaS.
J Jensen et al. (2009) utilizam a taxonomia da dimenso ofertas de servios do NIST para
propor uma arquitetura mais simplificada para a computao em nuvem, baseada naquela
dimenso e na viso das tecnologias empregadas para viabilizar o acesso s ofertas, conforme
mostra a Figura 4. As tecnologias de acesso consideradas neste caso compreendem os web
browsers e os web services e sua interao com as ofertas se d da seguinte forma:
Web browsers suportam integralmente as ofertas de SaaS e uma parcela das de PaaS;
Web services entram na composio das ofertas de IaaS e de parte das de PaaS.
Web Browsers
Tecnologias de Acesso
20
O Jericho Forum (2009), grupo de estudos vinculado a The Open Group, prope um modelo
estruturado a partir de quatro dimenses, ao qual denomina "cubo da nuvem" e que est
graficamente apresentado na Figura 5; as dimenses consideradas dizem respeito a:
Outsourced
Insourced
Externa
Interna
Ilimitada
Limitada
Proprietria
Aberta
2.1.4
21
al. abrange apenas uma das trs dimenses introduzidas pelo NIST. O modelo do Jericho
Forum, apesar de ser mais elaborado, mais complexo e no acrescenta informaes
relevantes em grau proporcional ao aumento da complexidade.
2.1.5
Para Bandyopadhyay et al. (op. cit.), a computao em nuvem oferece um elenco significativo
de benefcios-chave aos seus consumidores, a saber:
Reduo de custo:
Em adio, na medida em que mais consumidores aderem aos servios oferecidos por
um determinado provedor, este tem condio de, face economia de escala que pode
obter, promover redues de preo que venham a favorecer todo o seu elenco de
consumidores.
Reduo de barreiras:
A computao em nuvem tem potencial para reduzir as barreiras que a TI, em geral,
impe inovao, o que visivelmente demonstrado observando-se as inmeras novas
empresas que tm surgido, servindo-se de recursos computacionais em nuvem e que, em
pouco tempo de atuao, so excepcionalmente bem sucedidas; nesta situao, podem
ser citadas como exemplo YouTube, Facebook, TripIt e Mint.
22
A computao em nuvem torna fcil para as empresas escalar seus servios de acordo
com a demanda de seus clientes; uma vez que os recursos computacionais so
manuseados via software, eles podem ser disponibilizados rapidamente medida que
novos equipamentos so adicionados rede;
Inovao:
Kim (op. cit.) tambm explora a questo dos benefcios e afirma que a computao em nuvem
oferece quatro importantes deles aos seus consumidores:
Escalabilidade dinmica:
Facilidade de acesso:
23
Smith (op. cit.) outro autor que tambm relaciona um conjunto de benefcios que podem ser
propiciados pela computao em nuvem aos seus consumidores:
Escalabilidade dinmica:
Tambm diminui a demanda por ampliao do quadro de pessoal alocado TI, quer
sejam profissionais contratados quer sejam terceiros.
24
Qian et al. (op. cit.) citam trs benefcios que podem ser obtidos com a computao em
nuvem e os apresentam resumidamente:
Comparando estas listas de benefcios oferecidas por quatro diferentes autores, verifica-se
que, dos 17 benefcios citados no total, alguns deles o esto de forma repetida a
escalabilidade citada pelos quatro autores, a reduo de custos por trs deles e a reduo de
investimentos iniciais e a inverso com fundos operacionais por dois deles. A facilidade de
acesso s nuvens, conforme descrita por Kim (op. cit.), equivalente, por sua vez,
disponibilizao de recursos mencionada por Smith (op. cit.). Dessa forma, pode-se afirmar
que se est diante de um elenco de apenas nove benefcios potenciais efetivamente distintos,
os quais esto relacionados e descritos no Quadro 4.
Quadro 4 Benefcios Potenciais Associados Computao em Nuvem
Benefcio
Descrio
Reduo de custo
Reduo do investimento
inicial
Escalabilidade
Acesso a inovaes
Disponibilidade imediata
de recursos
25
Quadro 4 Benefcios Potenciais Associados Computao em Nuvem (cont.)
Benefcio
Descrio
Menor mobilizao de
recursos destinados a TI
Ganhos decorrentes da
competio
Gesto de recursos
2.1.6
26
Falhas de segurana:
Esta questo diz respeito aos dados mantidos pelas aplicaes executadas em nuvens;
Tradio comportamental:
Muitos consumidores no confiam em algo que no podem ver ou tocar, pois isto lhes
trs tona uma sensao de perda; o que ocorre quando seus acervos de informao
tm a perspectiva de serem transferidos para ambientes de nuvem e passarem a ser
armazenados em locais distantes ou mesmo desconhecidos;
Uma mudana de atitude para com relao a esta sensao exige novo posicionamento
por parte dos consumidores e representa um novo paradigma, difcil de ser aceito.
Marks e Lozano (2010) tambm exploram a questo das barreiras adoo da computao em
nuvem e destacam o que se faz necessrio, por parte de um determinado fornecedor, para
buscar satisfazer aos consumidores:
Segurana e privacidade:
Confiabilidade:
27
Comparando estas duas listas de barreiras, verifica-se que, das sete citadas no total, as duas
primeiras mencionadas por Marks e Lozano (op. cit.) admitem desdobramentos em quesitos
independentes: a primeira, segregando a segurana da privacidade e, a outra, separando
governana, acordos de nvel de servio e qualidade. Alm disso, o quesito segurana est
citado de forma repetida por ambos os autores. Em assim sendo, pode-se afirmar que se est
diante de um total de nove barreiras efetivamente distintas, as quais esto relacionadas e
descritas no Quadro 5.
Quadro 5 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem
Barreira
Descrio
Falta de capacidade
tcnica
Deficincia do
modelo de negcio
Falhas de segurana
Privacidade
Tradio
comportamental
Governana
Acordos de nvel de
servio
Qualidade
Confiabilidade
28
2.2
Este tpico trata do risco em trs nveis distintos: (a) o risco de uma forma geral, amplo e sem
especificidades, (b) o risco associado TI e (c) o risco associado especificamente utilizao
da TI em ambientes de computao em nuvem. So abordados os conceitos de risco e de
gesto de riscos, as caractersticas particulares do risco em cada um dos trs nveis e
sistemticas para gesto de riscos.
2.2.1
Uma definio que retrata de forma adequada o entendimento sobre risco existente ao final do
sculo passado a proposta por Ewald (1991, p. 199), para quem: "[...] 'risco' entendido
como sinnimo de ameaa ou perigo, em face de algum evento desfavorvel que possa afetar
algum; designa uma ameaa efetiva". 3
Neste contexto, o risco est tambm associado segurana. Para ilustrar esta associao,
Bitsch (2001, p. 179) recorre norma alem relativa segurana (DIN-VDE-31000) e oferece
um diagrama explicativo (vide Figura 6) da denominada "situao de segurana", por ele
definida como: "[...] uma situao na qual o risco [efetivo] menor do que o risco mximo
aceitvel". 4
Figura 6 Diagrama Explicativo das Situaes de Segurana e Perigo
Segurana
Perigo
Baixo Risco
Alto Risco
Risco
Risco Mximo
Aceitvel
____________________________
3
"[...] 'risk' is understood as a synonym for danger or peril, for some unhappy event which may happen to
someone; it designates an objective threat."
4
"[...] a situation in which the risk is lower than the maximum acceptable risk".
29
Conforme mostra a figura, caso o risco efetivo se situe acima de um limite estabelecido como
mximo, a situao deixa de ser de segurana para se tornar de perigo ou passvel da
ocorrncia de acidentes.
Segurana pode ser definida como uma situao de ausncia de acidentes, onde, por acidente,
entende-se um evento que implica numa perda no planejada e inaceitvel. A segurana,
diferentemente da confiabilidade, uma propriedade de um todo, no de uma parte ou
componente desse todo. Por exemplo, no possvel determinar se uma usina nuclear tem
segurana aceitvel examinando apenas uma de suas vlvulas; quaisquer consideraes acerca
da segurana dessa vlvula, sem a informao relativa ao contexto em que ela utilizada, no
tem significado efetivo. Na realidade, pode-se at concluir sobre a confiabilidade da vlvula,
mas a segurana somente pode ser determinada analisando o relacionamento entre ela e os
demais componentes e partes da usina, ou seja, no contexto do todo (LEVESON, 2011).
Dependendo da particular situao ou contexto, a definio de segurana pode variar
significativamente. Por exemplo, o United States Department of Defense (2000, p. 2) define
uma situao de segurana de uma forma mais ampla, por meio da seguinte frase: "Livre de
condies que podem causar morte, ferimento, doena ocupacional, dano ou perda de
equipamento ou propriedade, ou dano ao ambiente." 5
Do mesmo modo que na presena de acidentes no possvel haver segurana, esta tambm
no existe naturalmente em situaes de incerteza. Na incerteza, a segurana necessita ser
produzida, o que pode ser conseguido por meio da gesto de riscos (WENGER et al., 2008).
O conceito de risco evoluiu ao longo das ltimas duas dcadas e seu foco ampliou-se, para
passar a considerar no apenas a questo das ameaas, mas tambm os benefcios potenciais.
Em sua publicao mais recente sobre este tema, a International Organization for
Standardization, ISO, (2009, p. 1) coloca que: "Risco o efeito da incerteza sobre os
objetivos." 6
____________________________
5
"Freedom from those conditions that cause death, injury, occupational illness, damage to or loss of equipment
or property, or damage to the environment."
6
30
A ISO explicita que o efeito deve ser entendido como um desvio positivo ou negativo (grifo
nosso) para com relao a uma situao esperada e a incerteza, por sua vez, apresentada
como um estado de insuficincia de informaes relativas ao entendimento ou conhecimento
de um evento, suas consequncias e probabilidade de ocorrncia.
Ainda no que diz respeito incerteza, o Committee of Sponsoring Organizations of the
Treadway Commission, COSO, explora esta questo sinalizando que todas as organizaes,
em algum momento, acabam por enfrentar incertezas e que o desafio que a elas se coloca
determinar qual o grau de incerteza que esto dispostas a aceitar, de modo a no prejudicar o
objetivo de adicionar valor aos stakeholders. A incerteza, em si, no prejudicial, dado que
pode trazer no seu bojo tanto riscos quanto oportunidades, o que, potencialmente, pode
implicar no somente em eroso, mas em aumento do valor (COSO, 2004).
Wenger et al. (op. cit., p. 5) tambm abordam a questo e colocam que:
"Riscos so indiretos, no premeditados, incertos e, por definio, localizados no futuro, uma vez
que apenas se materializam quando se manifestam como eventos efetivos; em outras palavras: a
essncia do risco no estar acontecendo, mas poder acontecer." 7
Habegger (2008) sustenta que a eliminao dos riscos por completo no vivel, nem
tampouco desejvel, devido a, pelo menos, trs motivos: (a) no h meios para as pessoas
controlarem o futuro, (b) os recursos disponveis para lidar com riscos so sempre limitados e
(c) aceitar riscos est no ncleo do processo de inovao e uma condio mandatria para o
crescimento econmico e o progresso social.
2.2.2
O desafio de direcionar, com prudncia e sucesso, o curso dos riscos por entre oportunidades
e ameaas acabou por motivar a instituio da gesto de riscos, disciplina cujo objetivo
encontrar caminhos e abordagens que permitam detectar riscos em tempo hbil, avaliar
ameaas futuras adequadamente e estruturar e implementar aes bem sucedidas de mitigao
(Ibid.).
____________________________
7
"Risks are indirect, unintended, uncertain, and are by definition situated in the future, since they only
materialize when they are manifested as real events. In other words: the essence of risk is not that it is
happening, but that it might happen."
31
De uma maneira mais genrica, a ISO (op. cit., p. 2) coloca que: "Gesto de riscos [ o
conjunto de] atividades estruturadas que visam direcionar e controlar [as aes de] uma
organizao no que se refere ao risco." 8
A gesto de riscos deve: (a) fazer parte integral do escopo da gesto, (b) estar integrada
cultura e s prticas e (c) ser adaptada aos processos de negcio (Ibid.).
Crouhy et al. (2006) argumentam que a gesto de riscos diz respeito a como as organizaes
selecionam o tipo e o grau dos riscos que so apropriados ao seu perfil e que se dispem a
assumir. Para Wenger et al. (op. cit.), a implementao de uma gesto de riscos efetiva requer
um perfeito entendimento das caractersticas e da dinmica dos riscos e das vulnerabilidades
do ambiente.
Na viso de Kliem (2000), a gesto de riscos composta por trs etapas: identificao, anlise
e controle. Para Habegger (op. cit.), tambm so trs as etapas da gesto de riscos, porm com
denominao diferente: identificao, mensurao e mitigao; apesar da diferena de
nomenclatura, a essncia das etapas deste roteiro praticamente a mesma que a do de Kliem
(op. cit.).
Raz e Hillson (2005) so outros autores a sugerir um roteiro para gerir riscos, este composto
por quatro etapas: planejamento, identificao, anlise e tratamento. A novidade desta
proposta a primeira etapa, dado que as trs ltimas, em termos de contedo, so semelhantes
s dos dois roteiros acima apresentados.
J Crouhy et al. (op. cit.) propem um roteiro mais elaborado para a gesto de riscos,
envolvendo um nmero maior de etapas, porm pouco diferindo em termos de conceitos e
produtos. A Figura 7 apresenta uma representao grfica deste roteiro, que compreende sete
etapas e aborda explicitamente a questo da estratgia frente ao risco.
____________________________
8
"Risk management: coordinated activities to direct and control an organization with regard to risk."
32
Figura 7 Roteiro para Gesto de Riscos
Medir e Estimar
Exposio ao Risco
Avaliar Efeitos
da Exposio
Elaborar
Estratgia
para Riscos:
Prevenir
Transferir
Mitigar
Manter
Identificar
Exposio ao Risco
Identificar
Instrumentos para
Modificar ou
Tratar o Risco
Avaliar
Desempenho
Avaliar Custos e
Benefcios dos
Instrumentos
A ISO (op. cit.) prope um roteiro bastante mais completo para a gesto de riscos,
compreendendo no apenas o processo de gesto em si, mas tambm seu entorno, isto , a
maneira pela qual este processo deve ser construdo e inserido no contexto da organizao.
Uma viso esquemtica do modelo da ISO est apresentada na Figura 8.
Figura 8 Modelo Ampliado para Gesto de Riscos
Autorizar e
Compromissar
Estabelecer o Contexto
Identificar os Riscos
Introduzir
Melhorias
Contnuas no
Esquema
Comunicar
Desenhar
Esquema para
Gerir Riscos
Implementar
Gesto de
Riscos
Analisar os Riscos
Monitorar e Revisar
Avaliar os Riscos
Medir os Riscos
Monitorar
e Revisar
Esquema
Tratar os Riscos
Para fins de explorao das etapas da gesto de riscos em maior grau de detalhe, escolheu-se,
dentre os cinco roteiros apresentados neste tpico, aquele proposto por Habegger (op. cit.),
entendendo, primeiramente, no ser necessrio recorrer a um roteiro mais sofisticado para
33
ilustrar o tema e, em segundo lugar, por ele ser, dentre os dois mais simples, o melhor
explicado por seu autor. Este esquema compreende:
Esta etapa compreende trs atividades: estruturao, avaliao e priorizao dos riscos;
estas atividades ocorrem em ciclos, no bojo de um processo que visa facilitar a obteno
de consenso entre os diversos envolvidos;
A estruturao dos riscos busca aportar uma ordem ao universo dos riscos identificados,
introduzindo categorias nas quais estes possam ser classificados e possibilitando aos
analistas de risco subdividi-los da maneira mais conveniente;
A avaliao dos riscos visa explicitar a importncia relativa entre as distintas categorias
nas quais os riscos foram dispostos; muito embora deva refletir vises objetivas no que
diz respeito a aspectos tais como comportamento, evoluo, potencial de dano e
probabilidade de ocorrncia dos riscos, esta atividade nem sempre realizada com a
adequada excluso de fatores subjetivos;
A priorizao dos riscos objetiva destacar aqueles que devem merecer maior grau de
ateno, em decorrncia da sua magnitude potencial e dado que os recursos destinados
mitigao, via de regra, no so suficientes, por questes de ordem prtica de benefcios
versus custo, para permitir que todos os riscos sejam evitados.
34
Por fim, no deve ser descartada a possibilidade de, no rol das aes de mitigao, serem
includos instrumentos para transferir riscos a terceiros, quando esta possibilidade se
fizer factvel.
O processo acima apresentado trata de uma abordagem genrica para gesto de riscos e deve
ser adaptado a cada situao e realidade especficas para poder ser adequadamente aplicado
(Ibid.).
Mais recentemente, passou-se a considerar a gesto de risco tambm em nvel corporativo ou
empresarial, o que levou instituio da disciplina de mesmo nome. Nesta linha, por
exemplo, o COSO (op. cit., p. 2), define a gesto empresarial de riscos como:
"[...] um processo, conduzido pelo corpo de diretores, gerentes e outros profissionais de uma
organizao, aplicado com vistas a estabelecer uma estratgia ampla, destinada a identificar
potenciais eventos que possam afetar a organizao e gerenciar riscos que se enquadrem no seu
perfil, no sentido de prover um grau razovel de garantia quanto ao alcance dos objetivos
organizacionais." 9
____________________________
9
"[...] a process, effected by an entitys board of directors, management and other personnel, applied in strategy
setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk
to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."
35
A gesto empresarial de riscos permite aos gestores de uma organizao lidar de forma efetiva
com as incertezas e com os riscos e oportunidades a elas associados, ampliando a capacidade
de se criar valor para a organizao (Ibid.).
2.2.3
Risco da TI a possibilidade de que algum evento imprevisto, que envolva falha ou mau uso
da TI, ameace um objetivo empresarial. Na realidade atual, este tipo de riscos j no se limita
rea de TI ou ao data center (WESTERMAN e HUNTER, 2007).
Para estes autores (ibid.), a maioria dos riscos da TI no decorre de problemas tcnicos ou
gerados por funcionrios de baixo escalo, mas sim de falhas de superviso e da governana
de TI; ou seja, a maior parte destes riscos no resulta da tecnologia em si, mas de processos
decisrios que, de modo consciente ou no, ignoram as possveis consequncias destes riscos
para os negcios. Assim, as causas que levam aos riscos da TI so:
Governana de TI ineficaz:
Acaba por levar a decises otimizadas localmente, mas que geram riscos empresariais;
sem o envolvimento das reas de negcios, os gestores da TI podem fazer
pressuposies incorretas a respeito de quais riscos impactam mais os negcios.
Complexidade descontrolada:
A falta de ateno aumenta os riscos operacionais; seus sintomas podem incluir: (a) falta
de conhecimento ou conhecimento inadequado, (b) m gesto da infra-estrutura, (c)
ignorncia, negligncia ou deslealdade dos funcionrios e (d) mecanismos de controle
insensveis a atividades perigosas.
Como uma forma de lidar com os riscos da TI, estes autores (ibid.) introduzem dois conceitos:
o "Esquema 4A" e as "Disciplinas Focais de Gesto dos Riscos da TI".
36
Disponibilidade:
Acesso:
Preciso:
Agilidade:
Os autores (ibid.) afirmam que os fatores de risco por eles apresentados formam uma
hierarquia, qual denominam "pirmide dos riscos da TI" e que est graficamente
representada na Figura 9.
Figura 9 Pirmide dos Riscos da TI
Relaes ruins entre negcios e TIC
Mau cumprimento de projetos
Agilidade
Dados no compartimentados
Aplicaes requerem padronizao
Preciso
Acesso
Disponibilidade
____________________________
10
Nota: a denominao "4A" decorre do fato de os fatores, no original em ingls, serem: availability, access,
accuracy e agility.
37
A disposio dos fatores na pirmide demonstra que o fator posicionado numa determinada
camada influencia no apenas os riscos associados a ela, mas tambm aqueles associados s
camadas superiores.
O segundo conceito, as "Disciplinas Focais de Gesto dos Riscos da TI", compreende trs
tpicos: (a) alicerce de TI, (b) governana dos riscos da TI e (c) cultura de conscincia dos
riscos da TI, os quais podem ser assim delimitados (Ibid.):
Alicerce de TI:
Identificar e
Avaliar Riscos
Avaliao
de Risco
Priorizados
Priorizar
e Atribudos
Riscos e Atribuir
Responsabilidades
Definir Poltica e
Normas de Risco
Mensuraes e
Status Correntes
Monitorar e
Rastrear Riscos
Status das
Aes
38
Esta disciplina leva uma organizao a um patamar no qual todas as pessoas, em todos
os nveis, esto cientes dos riscos, discutem-nos e assumem a responsabilidade pessoal
por administr-los;
Para cada disciplina focal de gesto dos riscos da TI, os autores (ibid.) citam um rol de
quesitos que sinalizam o grau em que a disciplina conduzida. O grau de competncia indica
que a disciplina aplicada de forma correta, porm com intensidade mediana; j o grau de
excelncia indica que ela aplicada no s de forma correta, mas tambm com intensidade
acima da mdia. O Quadro 6 exibe um resumo destes quesitos.
Quadro 6 Graus de Qualificao das Disciplinas Focais de Gesto dos Riscos da TI
Disciplina
Grau de Competncia
Alicerce
Grau de Excelncia
39
Quadro 6 Graus de Qualificao das Disciplinas Focais de Gesto dos Riscos da TI (cont.)
Disciplina
Grau de Competncia
Grau de Excelncia
Conhecimento
dos Gerentes de
TI e Negcios
Planos para a
Governana dos
Riscos da TI
Planos para o
Alicerce de TI
Foras
Externas
Avaliar Riscos
Estratgicos da TI
Estratgia de
Gesto dos
Riscos da TI
Iniciativas
Estratgicas
Planos para a
Cultura de
Conscincia dos
Riscos da TI
Agilidade
Preciso
Acesso
Disponibilidade
Esquema 4A
Governana
Conscincia
Alicerce
Disciplinas Focais de
Gesto dos Riscos da TI
40
2.2.4
Indisponibilidade:
Privacidade:
41
Suporte:
Aprisionamento e interoperabilidade:
Conformidade:
Smith (op. cit.) tambm oferece uma lista de riscos a serem considerados:
Privacidade:
Muitas empresas hesitam em transferir seus dados para um computador externo que
potencialmente possa permitir que esses dados sejam acessados por outras empresas que
venham a compartilhar esse computador;
Legislao:
Os consumidores devem ficar atentos s leis particulares dos pases nos quais os
equipamentos dos provedores de servios em nuvem esto instalados, pois elas se
aplicam aos dados neles armazenados;
42
Desempenho:
Situaes deste tipo so decorrentes, em parte, do fato de que, quando se utiliza uma
aplicao num ambiente de nuvem, no possvel saber ou prever quem sero os demais
consumidores a compartilhar os recursos envolvidos e concorrer para uma eventual
degradao do desempenho.
Erros:
Aprisionamento:
Capacidade finita:
Armbrust et al. (op. cit.) tambm se envolvem com este tema, relacionando o que denominam
os dez obstculos para a adoo e o crescimento da utilizao da computao em nuvem:
43
A alta disponibilidade de funes desta natureza faz com que os consumidores tenham a
expectativa de que todo e qualquer servio oferecido nas nuvens possa ter
comportamento semelhante, o que nem sempre verdadeiro.
Apesar de existirem solues tcnicas para esta questo, a maioria dos provedores ainda
no oferece a possibilidade de migrao de dados de maneira fcil e gil;
Por questes diversas, pode ser conveniente para determinados consumidores transferir
sistematicamente dados para e de seus provedores, com a finalidade de executar certos
aplicativos especficos;
Ocorre que, dependendo dos volumes a serem trafegados, esta transferncia pode se
tornar excessivamente demorada e custosa, recomendando uma cuidadosa anlise e
reavaliao dos aplicativos envolvidos.
Imprevisibilidade do desempenho:
44
Do mesmo modo, determinados processos que demandam alta dedicao das unidades
centrais de processamento consomem muito mais tempo do que o esperado;
Essas situaes acabam por levar a um desempenho muito aqum do projetado para os
recursos envolvidos.
Escalabilidade da armazenagem:
Escalao rpida:
A rapidez para escalar recursos, tanto para mais quanto para menos, importante, porm
deve ocorrer de modo tal a permitir que essa variao no provisionamento de recursos
seja feito sem prejuzo dos nveis de servio pactuados e seja suportada por instrumentos
justos de apropriao de custos para fins de cobrana.
M reputao:
Situaes deste tipo podem no apenas afetar a reputao do provedor, mas fazer com
que os consumidores de uma maneira geral passem a ver a prpria computao em
nuvem com desconfiana.
Licenciamento de software:
45
compostas as ofertas de servios em nuvens, o que, por vezes, leva a situaes que
inviabilizam o uso de determinados software em funo do custo para os consumidores.
Qian et al. (op. cit.) tambm exploram a questo dos riscos na computao em nuvem,
destacando:
Privacidade e segurana:
O consumidor preocupa-se com sua privacidade e com a segurana de seus dados mais
do que o faz num servio tradicional de hospedagem;
Diz respeito a questes tais como erros, falta de energia e outras interrupes de ordem
diversa, que podem interferir na continuidade da prestao dos servios, afetando,
inclusive, os nveis de servio pactuados;
Aprisionamento:
Jensen et al. (op. cit.) analisam a questo dos riscos na computao em nuvem, porm sob
uma tica mais tecnicista e suas principais consideraes esto sumarizadas no Quadro 7.
Quadro 7 Riscos de Origem Tcnica Presentes na Computao em Nuvem
Risco
Detalhe
Adulterao da Modificao fraudulenta da assinatura XML em mensagem trocada entre web services,
Assinatura XML possibilitando a substituio da mensagem original por outra, potencialmente danosa.
Falhas de
segurana dos
browsers
Falhas de
integridade da
nuvem
Ataques por
saturao
46
2.2.5
Quanto aos riscos inerentes computao em nuvem, a questo se configura de modo distinto
do demandado pelos tpicos explorados no Captulo 1 deste documento. Aqui, no se trata de
selecionar uma proposio para ser adotada, mas de consolidar as listas apresentadas no
tpico anterior, com vistas a preparar uma base que possibilite a verificao da pertinncia
dessas listas, tendo em vista o escopo dos objetivos estabelecidos para esta pesquisa.
A reviso bibliogrfica realizada levou seleo das cinco listas de riscos expostas no tpico
acima. Cada um dos riscos citados nestas listas foi analisado em detalhe, luz das definies
oferecidas pelos autores, e os itens considerados idnticos ou muito assemelhados foram
unificados; do mesmo modo, itens de significado muito prximo foram integrados, passando a
compor um nico. Por fim, foi institudo um critrio de agrupamento, procurando estabelecer
um primeiro nvel de estruturao para os itens constantes da lista consolidada. O resultado
obtido est apresentado no Quadro 8 e serviu de referncia para a posterior validao emprica
proposta pela pesquisa.
Quadro 8 Consolidao dos Riscos Inerentes Computao em Nuvem
Grupo
Risco
Operacionais Falta de
privacidade
Definio
Fontes
Falhas de
integridade
Erros
Suporte
inadequado
Baixo
desempenho
Ataques por
saturao
47
Quadro 8 Consolidao dos Riscos Inerentes Computao em Nuvem (cont.)
Grupo
Risco
Definio
Fontes
Baixa
Dificuldade significativa ou, no limite, Kim; Armbrust et al.
interoperabilidade impossibilidade de intercambiar dados e/ou
aplicativos entre distintos provedores
De Negcio
Estruturais
Indisponibilidade
No-continuidade
Aprisionamento
M reputao
O grupo dos riscos operacionais engloba os riscos passveis de afetar o dia-a-dia da prestao
dos servios, ou por deficincias do prprio provedor, em termos de processos e/ou
instrumentos de governana, ou por inadequao dos ativos e recursos por ele empregados
(hardware, software, meios de comunicao e pessoal). O grupo dos riscos de negcio
abrange aqueles associados atitude do provedor, como empresa, frente a situaes crticas
que possam advir. O grupo dos riscos estruturais compreende os riscos passveis de afetar a
mdio e longo prazos a prestao dos servios, em decorrncia de decises deliberadamente
tomadas pelo provedor em discordncia com o senso comum e/ou o respeito legislao.
2.2.6
semelhana do que ocorre com qualquer outro aspecto dos negcios, constitui-se numa boa
prtica a adoo de uma abordagem baseada em avaliao dos riscos e da segurana, ao
considerar a possibilidade de contratar servios de computao em nuvem (CSA, op. cit.).
48
Governana:
Conformidade e auditoria;
Portabilidade e interoperabilidade.
Operaes:
49
Segurana de aplicativos;
Virtualizao.
Na publicao Security Guidance for Critical Areas of Focus in Cloud Computing, da qual
foram extradas as categorias e os domnios acima apresentados, cada domnio detalhado e a
cada um deles est ainda associado um amplo elenco de recomendaes (Ibid.).
Diferentemente do que j ocorre com a questo dos riscos inerentes computao em nuvem,
abordada no tpico 2.2.4, a literatura ainda no apresenta uma diversidade de proposies
relativas gesto dos riscos nestes ambientes. Na realidade, fica um tanto evidente que, no
caso da gesto dos riscos, a abordagem est sendo conduzida mais no plano dos prticos do
que dos acadmicos e, portanto, as publicaes tendem a ser mais oriundas de instituies do
que de pesquisadores. Porm, mesmo no caso das instituies, foi possvel identificar apenas
um trabalho voltado a este tema, que o desenvolvido pela CSA (op. cit.), mas cuja proposta
ainda parcial e consiste de um esquema destinado aplicao por parte de potenciais
consumidores de servios em nuvem. Este esquema cobre unicamente a questo da deciso
quanto escolha de um provedor para processar um determinado conjunto de aplicaes e
compreende os seguintes passos:
Neste contexto, o primeiro passo do processo de gesto dos riscos determinar quais
dados e/ou funes so passveis de transferncia para nuvens.
50
Para os ativos que podem ser direcionados a nuvens, deve-se determinar sua importncia
para a organizao; no imperativo que esta avaliao seja extremamente detalhada, a
menos que j exista um processo formal que possibilite realiz-la desta forma;
Com isto, chega-se a uma boa ideia acerca do grau de conforto da transio para a
nuvem e quais modelos atendem aos requisitos de risco.
Neste passo, o foco recai sobre o grau de controle que ser possvel ter em cada oferta de
servios (software, plataforma e infra-estrutura) para implementar a gesto dos riscos
junto aos provedores potenciais.
Para cada potencial provedor, deve-se mapear o fluxo de dados entre este, o consumidor
e quaisquer outros possveis intermedirios; importante conhecer os possveis
51
caminhos a serem percorridos pelos dados que sero transferidos para as nuvens, antes
de se tomar a deciso final quanto contratao.
A CSA (op. cit.) defende que, aplicando o processo acima exposto, os consumidores tornamse aptos a compreender: (a) a importncia dos ativos que consideram passveis de serem
transferidos para nuvens de terceiros, (b) seu prprio grau de tolerncia aos riscos associados
a essa transferncia e (c) quais possveis combinaes entre ofertas de servios e modelos de
implementao lhes so aceitveis.
2.2.7
Recorrendo Figura 6, que prima pela simplicidade, porm possui um significativo apelo
visual, imediato afirmar que, para posicionar-se numa situao de segurana ou no "plano da
segurana" 11, uma organizao necessita reduzir seus riscos at torn-los aceitveis. Uma
vez tornados aceitveis, os riscos deixam de se constituir em perigo potencial e podem
contribuir para o aproveitamento de oportunidades, como destacado pela ISO e pelo COSO.
Para possibilitar a uma organizao posicionar-se no plano da segurana, o instrumento a ser
empregado a gesto dos riscos. No faltam, na literatura, proposies voltadas gesto de
riscos e a pesquisa bibliogrfica realizada conduziu identificao de vrias delas, dentre as
quais este documento destaca: (a) no tpico 2.2.2, cinco roteiros genricos para gesto de
riscos em organizaes, propostos por Kliem, Habegger, Raz e Hillson, Crouhy et al. e pela
ISO; (b) no tpico 2.2.3, um roteiro para gesto de riscos da TI, introduzido por Westerman e
Hunter e (c) no tpico 2.2.6, um roteiro parcial para gesto especfica de riscos em ambientes
de computao em nuvem, proposto pela CSA.
Em tese, razovel supor que os modelos e esquemas vlidos para a gesto dos riscos de uma
maneira geral possam ser aplicados gesto dos riscos da TI, assim como estes possam ser
aplicados gesto de riscos na computao em nuvem.
____________________________
11
Nota: semi-plano, na realidade, para ser geometricamente preciso, dado que a linha vertical tracejada da Figura
6 divide o plano em dois semi-planos: o da segurana, esquerda, e o do perigo, direita.
52
De fato, quando se compara roteiros para gesto de risco, como os citados no tpico 2.2.2
deste documento, com aquele proposto por Westerman e Hunter (op. cit.) para a gesto dos
riscos da TI, verifica-se que h total semelhana entre as atividades recomendadas por todos
eles. Em particular, imediato associar as etapas do esquema proposto por Habegger (op.
cit.), descritas no tpico 2.2.2, com suas correspondentes exibidas na Figura 10, que oferece
uma viso do esquema de Westerman e Hunter (op. cit.).
Da mesma forma, quando se analisa mais de perto o roteiro recomendado por Westerman e
Hunter (op. cit.), pode-se entender que a etapa de identificao e avaliao de riscos nele
presente pode ser adequadamente adaptada para contemplar os requisitos especficos inerentes
computao em nuvem. Se o esquema da CSA fosse completo, poderia ser adotado para
compor um modelo de referncia para a gesto de riscos na computao em nuvem; porm,
como se trata de um esquema apenas parcial, torna-se necessrio identificar ou elaborar um
esquema completo de gesto de riscos para, a sim, compor um modelo vivel de ser aplicado.
53
MTODO DE PESQUISA
3.1
O mtodo Delphi foi desenvolvido pela Rand Corporation, nos Estados Unidos, na dcada de
50 do sculo passado, para apoiar pesquisas militares de cunho estratgico. De incio
denominado expert judgment (RAND CORPORATION, 2005), teve posteriormente sua
denominao alterada para Delphi e foi, pela primeira vez, reportado num documento interno
da Rand datado de 14/11/1951 e denominado "The use of experts for the estimation of
bombing requirements" (DALKEY e HELMER, 1962).
54
A divulgao do Delphi, entretanto, somente foi autorizada dez anos mais tarde, depois de
transcorrido um prazo considerado satisfatrio pela Rand e pelas autoridades militares norteamericanas, cabendo aos pesquisadores internos Dalkey e Helmer (op. cit.) realiz-la.
No instrumento utilizado para divulgao (ibid.), o Delphi definido como um mtodo que
busca obter a opinio coletiva mais confivel de um grupo de especialistas, aos quais so
aplicados questionrios e/ou entrevistas individuais combinados com feedback controlado, ao
longo de uma srie de ciclos ou rodadas. Em assim procedendo, afirmam estes autores que o
processo, se no leva obrigatoriamente ao consenso, no mnimo leva convergncia das
respostas ao final de um nmero relativamente reduzido de ciclos.
Ao longo dos anos 50 e da primeira metade dos anos 60 do sculo passado, o mtodo Delphi
foi sendo aperfeioado pelos pesquisadores da Rand. Por meio de um novo estudo publicado,
Dalkey (1967) explicita as caractersticas bsicas do Delphi, na sua viso: (a) anonimato, (b)
feedback controlado e (c) estatstica associada resposta coletiva. O anonimato implica no
no conhecimento, por parte de cada um dos participantes, das opinies individuais dos
demais, com vistas a evitar quaisquer tipos de interferncias ou influncias. O feedback
controlado continua significando a divulgao, ao trmino de cada ciclo, das opinies dos
participantes para os prprios, sob a forma de resumos padronizados elaborados pelos
pesquisadores. A estatstica associada resposta coletiva representada por um valor
numrico, estatisticamente determinado, capaz de representar adequadamente o conjunto das
opinies dos especialistas ao final de cada ciclo.
Posteriormente, o prprio Dalkey (1969) associa caracterstica do feedback controlado a
questo da iterao, reforando a importncia dos ciclos no processo de aplicao do Delphi e
indicando sua vinculao inseparvel ao feedback.
Aps analisar diversos estudos nos quais o Delphi foi empregado, Linstone e Turoff (1975)
propem uma viso um pouco distinta e resumem sua definio e as caractersticas, afirmando
que ele pode ser entendido como um mtodo destinado a estruturar um processo de
comunicao que permite a um grupo de indivduos lidar com problemas complexos, por
meio de: (a) feedback de contribuies individuais de informaes e conhecimentos, (b)
avaliao da opinio ou viso do grupo, (c) oportunidade para os participantes revisarem suas
opinies e (d) anonimato dos participantes.
55
Mais tarde, outros autores, em particular Rowe et al. (1991), passam a considerar que so
quatro as caractersticas bsicas do Delphi, colocando a iterao em separado, e reforam que
a repetio do processo de questionamento por meio dos ciclos propicia aos especialistas a
oportunidade de rever suas opinies e respostas luz do conhecimento agregado do grupo.
3.2
Na sua formulao original, o mtodo Delphi foi concebido para ser aplicado a situaes que
envolviam a necessidade de gerar estimativas relativas a um determinado tema ou assunto.
Dalkey (1969) refora que as aplicaes iniciais do Delphi na Rand foram realizadas com este
foco. Posteriormente, Delbecq et al. (1975) mencionam o emprego do Delphi na obteno de
pareceres sobre a importncia relativa de quesitos afetos a um determinado tema, na
modalidade que passou a ser conhecida como ranking form.
Schmidt (1997) destacou que, no caso da utilizao do mtodo Delphi voltada obteno de
estimativas, seus prprios criadores, e outros autores posteriormente, definiram um esquema
para aplicao, ao passo que a modalidade ranking form no dispunha at aquele momento de
uma sistemtica estruturada equivalente.
Para ser aplicado obteno de estimativas, Dalkey e Helmer (op. cit.) propem como
sistemtica que em cada ciclo ou rodada: (a) sejam apresentadas questes aos especialistas
participantes, (b) as respostas sejam colhidas, tabuladas, despersonalizadas e sumarizadas e
(c) o sumrio seja devolvido aos participantes, acompanhado por um novo questionamento.
Linstone e Turoff (op. cit.), por sua vez, apresentam uma sistemtica para aplicao do
mtodo Delphi para a obteno de estimativas composta por quatro etapas a serem executadas
ao longo de cada ciclo:
Etapa 1: explorar o objeto em discusso, ao longo da qual cada participante contribui com a
informao individual de que dispe relativamente ao tema;
Etapa 2: obter a viso coletiva do grupo acerca do tema, com a explicitao dos pontos de
concordncia e discordncia;
56
No que diz respeito aplicao do Delphi na modalidade ranking form, Schmidt (op. cit.)
prope uma sistemtica que consta de cinco etapas: identificar quesitos, determinar quesitos
mais relevantes, ordenar quesitos, analisar resultados e apresentar resultados. Em detalhe, este
esquema compreende:
Cada quesito deve, na medida do possvel, ser acompanhado de uma descrio, que torne
suficientemente claro o seu significado;
Caso seja adotada a opo de recomendar aos painelistas uma quantidade mnima de
quesitos a serem indicados, a quantidade ideal a ser sugerida seis;
Uma vez feitas as indicaes por parte de todos os painelistas, o pesquisador deve
interpret-las e consolid-las numa lista nica, tendo o cuidado de garantir que quesitos
que aparentem ser os mesmos, mas que possuam descries diferentes, sejam
adequadamente tratados.
Uma vez mais, os quesitos presentes na lista consolidada elaborada ao final da etapa
anterior devem ser colocados numa sequncia aleatria e assim enviados aos painelistas,
aos quais ser solicitado coloc-los em ordem de importncia relativa;
57
De posse das listas ordenadas por cada um dos painelistas, o pesquisador deve
consolid-las, para finalmente obter um ranking representativo da opinio coletiva; esta
consolidao deve ser realizada com o emprego de um mtodo estatstico e existem
vrios deles aplicveis a este caso, mas a recomendao, no entanto, que seja utilizado
o mtodo de Kendall e Smith (1939), que conduz a uma soluo nica e de fcil
obteno e entendimento;
Quando se adota uma srie de ciclos de consulta para refinar as opinies dos painelistas
relativamente ao ranking consolidado, esta mesma estatstica W pode ser utilizada como
instrumento para sinalizar quando a srie de ciclos pode ser interrompida, pois o
incremento no valor de W de um ciclo para outro tem relao direta com o aumento da
concordncia entre os painelistas; se no h um aumento significativo do valor de W de
um ciclo para outro, o processo pode ser interrompido e a lista ordenada consolidada
quando dessa interrupo ento utilizada como ranking definitivo.
Esta apresentao pode se dar sob diversas formas: texto, tabelas, quadros explicativos e
grficos;
58
Figura 12 Sistemtica para Aplicao do Mtodo Delphi em 3 Ciclos
Experincia
Literatura
Definir
Questo de
Pesquisa
Desenhar
Pesquisa
Selecionar
Especialistas
Preparar
Ciclo 1
Realizar
Piloto
Preparar
Ciclo 2
Realizar e
Analisar
Ciclo 2
Preparar
Ciclo 3
Realizar e
Analisar
Ciclo 2
EstudosPiloto
Realizar e
Analisar
Ciclo 1
Documentar
e Concluir
Pesquisa
59
anloga etapa 7;
Adicionalmente, esta etapa deve conter um teste que verifique se o painel pode, de fato,
ser dado por concludo ou se ser necessria a realizao de um ou mais novos ciclos; no
caso de serem necessrios ciclos adicionais, deve-se repetir as etapas 9 e 10 tantas vezes
quantas forem necessrias.
60
Passo 3: Identificar
especialistas adicionais
Passo 5: Convidar
especialistas
Rowe e Wright (2001), por sua vez, sugerem um conjunto de princpios prticos para nortear
a aplicao do Delphi, os quais esto relacionados no Quadro 9.
Quadro 9 Princpios Prticos para Aplicao do Mtodo Delphi
Princpio Enunciado
1
61
Quadro 9 Princpios Prticos para Aplicao do Mtodo Delphi (cont.)
Princpio Enunciado
4
Para o feedback, disponibilize a mdia ou a mediana das opinies, acrescidas das razes
apresentadas pelos especialistas para suas indicaes
Continue com os ciclos at que as respostas mostrem estabilidade; em geral, trs ciclos so
suficientes
3.3
62
____________________________
12
"The Delphi method is a mature and a very adaptable research method used in many research arenas by
researchers across the globe."
63
3.4
Staticized Group:
Focus Group:
H ainda a questo logstica, que pode ser impactante, pois todos os participantes devem
ser reunidos num nico local fsico, a menos que se viabilizem esquemas de
comunicao visual e oral distncia (do tipo videoconferncias ou assemelhados).
64
Graefe e Armstrong (2011) acrescentam lista acima o prediction markets, que um mtodo
cuja aplicao se d por meio da negociao de contratos entre os participantes, num contexto
que preserva o anonimato; este artigo apresenta um estudo comparativo entre o Focus Group,
NGT, prediction markets e Delphi, focando na preciso e aceitao do mtodo pelos
participantes, e conclui que o Delphi o mais preciso. J Rowe e Wright (1999) incluram em
seu estudo uma reviso bibliogrfica sobre a aplicao de mtodos de obteno de opinies de
especialistas e concluram que, poca, o Delphi era, de longe, o mais utilizado.
Estes estudos apenas reforam as colocaes feitas por estes outros autores, porm sem uma
comprovao prtica:
Linstone e Turoff (op. cit.) destacam que h preferncia pelo Delphi quando:
65
Evita que ocorra o chamado efeito "Maria vai com as outras", comum nas interaes
presenciais, quando um lder nato ou de ocasio conduz os demais;
Torna o processo menos vulnervel influncia que pode ser exercida por um indivduo
ou subgrupo dominante, em funo de prestgio ou imposio pela fora;
Quando a opo que se apresenta como alternativa considerar uma mdia de opinies
ou estimativas de vrios indivduos isoladamente;
66
3.5
Schmidt (op. cit.) prope uma sistemtica para a aplicao do Delphi na modalidade
ranking form que consiste de cinco etapas: explorao dos quesitos, determinao dos
quesitos mais relevantes, ordenao dos quesitos, anlise dos resultados e apresentao dos
resultados;
Skulmoski et al. (op. cit.) propem uma sistemtica mais detalhada (vide Figura 12),
composta por 12 etapas e especificamente desenhada para a realizao de um painel Delphi
de trs ciclos; desconsiderando as etapas que se apresentam de maneira repetida de um
ciclo para outro, esta sistemtica contm, na realidade, apenas oito etapas distintas;
67
Okoli e Pawlowski (op. cit.) propem um esquema especfico e bastante detalhado para a
seleo de especialistas para participar de um painel Delphi.
Combinando ento essas trs proposies, definiu-se a sistemtica adotada no painel realizado
para suportar este trabalho de pesquisa, a qual compreende cinco etapas, apresentadas no
Quadro 10 de forma comparativa para com relao aos esquemas utilizados como referncia.
Quadro 10 Comparao Entre Sistemticas de Aplicao do Mtodo Delphi
Sistemtica Adotada
Neste Estudo
Sistemtica Proposta
por Skulmoski et al.
Sistemtica Proposta
por Okoli e Pawlowski
1. Esquematizar
Painel
Desenhar Pesquisa
2. Montar Grupo de
Painelistas
Sistemtica Proposta
por Schmidt
Requisitos
Popular Quadro de
3. Preparar Ciclo N
do Painel
Preparar Ciclo N
4. Realizar Ciclo N
do Painel
Realizar e Analisar
5. Elaborar
Concluses
Documentar e Concluir
Realizar Piloto
Ciclo N
Pesquisa
Explorar Quesitos
Determinar Quesitos
Mais Relevantes
Ordenar Quesitos
Analisar Resultados
Apresentar Resultados
A referncia a um ciclo genrico N uma adaptao proposio original destes autores, que definem etapas distintas
para cada um dos ciclos (vide Figura 12).
Esta etapa no encontra uma correspondente plena em nenhum dos esquemas utilizados
como referncia, mas imprescindvel de ser executada neste nvel de detalhe, pois
estabelece a estrutura a ser adotada no painel.
68
A identificao e seleo dos participantes em potencial devem levar em conta uma srie
de fatores de qualificao ou requisitos, entre os quais a vivncia no tema da pesquisa, a
bagagem acadmica (quando aplicvel) e o interesse em participar;
Esta etapa segue um roteiro derivado do esquema proposto por Okoli e Pawlowski (op.
cit.), com as devidas adaptaes que estes prprios autores recomendam para cada painel
em particular;
Intervalo de
Concentrao
Autor
Natureza
Dissertao
39
Dissertao
54
Dissertao
99
Dissertao
21
Dissertao
11
Dissertao
21
Dissertao
21
Dissertao
15
Dissertao
72
Tese
27
Tese
34
Tese
10
Tese
134
Tese
65
Tese
14
69
Quadro 11 Dimensionamento de Painis Delphi (cont.)
Mnimo
Mximo
ou nico
Intervalo de
Concentrao
Autor
Natureza
Tese
15
Tese
20
Tese
13
Tese
122
Tese
45
Tese
52
Tese
19
Tese
12
Recomendao
10
18
Recomendao
20
Artigos
98
11
Artigos
171
21
Teses
345
11
37
Skulmoski et al. (op. cit.) destacam que o questionrio a ser utilizado no primeiro ciclo
pode ser composto por questes ou abertas ou estruturadas; as questes abertas so
aquelas que solicitam aos painelistas expor sua opinio sem lhes oferecer nenhum tipo
de referncia explcita, enquanto que as questes estruturadas j oferecem um ponto de
partida aos painelistas, que so solicitados a trabalhar a partir deste;
Por exemplo, uma questo aberta do tipo: "cite, na sua opinio, os principais benefcios
que podem ser obtidos com a aquisio de servios de computao em nuvem", ao passo
que uma questo estruturada relativa ao mesmo tema poderia ser: "a literatura menciona
que a reduo dos investimentos iniciais, a escalabilidade dinmica e a menor
70
Os questionrios a serem utilizados nos demais ciclos do painel, alm do primeiro ciclo,
possuem, caracteristicamente, questes fechadas, pois estas focam no tratamento de
quesitos j introduzidos em algum ciclo anterior.
De posse das respostas s questes que envolvem proposio, a consolidao visa obter
os elementos distintos coletivamente propostos, representativos, portanto, da opinio do
grupo de painelistas sobre um dado tema; para tal, desprezam-se as eventuais indicaes
de elementos repetidos (os que possuem definies semelhantes) e tomam-se todas as
indicaes distintas assim identificadas para compor listas de proposies;
Em linhas gerais, este mtodo de ordenao coletiva prope que, de incio, a cada
elemento presente numa lista ordenada individual, se atribua um peso correspondente
sua posio na lista, ou seja, para o elemento colocado na posio 1, o peso deve ser 1,
para o elemento colocado na posio 2, o peso deve ser 2 e assim por diante; estes pesos
71
devem ser atribudos s listas de cada ordenador e a soma dos pesos de um elemento
passa a representar sua posio na lista coletiva, de tal modo que o elemento com menor
soma ocupa a posio 1, o elemento com a segunda menor soma ocupa a posio 2 e
assim sucessivamente;
Nos ciclos em que as listas no so efetivamente ordenadas pelos painelistas, mas apenas
so indicados os Z elementos mais relevantes, a cada um destes o mtodo recomendaria
ser atribudo o peso 1 e, aos demais no selecionados, o peso Z+1, caracterizando
empates tanto entre os selecionados quanto entre os no selecionados; nesta situao,
Kendall (op. cit.) prope que os pesos dos elementos empatados sejam substitudos pela
mdia aritmtica das posies por eles ocupadas;
Significado
At 0,1
Muito baixo
Baixo
Moderado
Alto
Muito alto
Compreende o preparo das concluses finais, baseadas nos resultados obtidos com a
realizao de todos os ciclos do painel;
Neste estudo, as concluses finais versam sobre a viso dos painelistas relativamente aos
riscos, benefcios e barreiras potenciais associados aos ambientes de computao em
nuvem no privada.
72
73
4.1
Esquematizao do Painel
Depois de analisar diversas opes para composio dos questionrios e estruturao dos
ciclos do painel, chegou-se definio de, no mnimo, seis ciclos, com os escopos
apresentados na Figura 14.
Figura 14 Ciclos de Aplicao do Mtodo Delphi Neste Estudo
Ciclo 0:
Mapeamento
de Perfil
Ciclo 1:
Barreiras e
Benefcios
Ciclo 2:
Barreiras e
Benefcios Mais
Relevantes e Riscos
Ciclo 3:
Ranking de Barreiras
e Benefcios e Riscos
Mais Relevantes
Ciclo 4:
Ranking de Riscos
e Reviso dos
Rankings Anteriores
Ciclo 5:
Reviso de Todos
os Rankings
74
4.2
75
Para os profissionais de TI, o exerccio de um cargo executivo de alto nvel nas empresas
em que atuavam.
Tomadas estas decises, deu-se incio elaborao de uma lista de potenciais participantes,
reunindo nomes de pessoas do crculo de conhecimento do pesquisador. Esta lista acabou
composta por 22 pessoas, as quais foram contatadas por e-mail ou telefone e receberam um
convite para participar do painel.
Paralelamente, foram identificados profissionais do meio acadmico com envolvimento direto
e efetivo com a TI, dentre os quais foram escolhidos trs professores-doutores, aos quais
tambm foi feito o convite.
O convite foi aceito pelos trs acadmicos e por 13 profissionais de TI, estabelecendo-se
ento um grupo de 16 painelistas, com tamanho e proporo relativa (um acadmico para cada
4,3 profissionais de TI) considerados ambos satisfatrios.
4.3
76
quais os painelistas atuavam. O texto na ntegra das perguntas que compuseram este
questionrio est apresentado no Apndice 2.
Este questionrio foi enviado apenas aos 13 profissionais de TI, tendo sido respondido por
todos eles. O perfil dos acadmicos foi obtido por meio de contato direto por e-mail. Um
resumo das respostas obtidas, tanto aos questionrios quanto aos e-mails, est apresentado no
Apndice 3.
4.4
77
Quadro 12 Barreiras Potenciais Adoo da Computao em
Nuvem No Privada Indicadas pelos Painelistas
No.
Enunciado
B1
Maturidade ainda no comprovada do modelo de servios e governana, por ser muito novo
B2
Riscos inerentes ao modelo de servios, muitos dos quais ainda desconhecidos e que podem no
ser adequadamente esclarecidos pelo fornecedor
B3
B4
B5
Dvidas quanto segurana que possa vir a ser oferecida pelo fornecedor
B6
B7
Dvidas quanto qualidade dos recursos de infra-estrutura e rede de comunicaes adotados pelo
fornecedor
B8
B9
B10
B11
B12
Dvidas quanto ao tratamento a ser recebido de parte do fornecedor, face eventual baixa
representatividade dos servios contratados
B13
Receio quanto comunicao com um fornecedor estrangeiro, por conta de dificuldades com o
idioma
B14
B15
B16
Enunciado
V1
V2
V3
V4
V5
Demanda investimentos iniciais menores para se dispor do mesmo nvel de recursos e tecnologia
V6
V7
V8
Oferece escalabilidade, proporcionando flexibilidade para crescer e lidar com situaes de pico e
sazonalidade
V9
78
Quadro 13 Benefcios Potenciais Decorrentes da Adoo da Computao em
Nuvem No Privada Indicados pelos Painelistas (cont.)
No.
Enunciado
V10
V11
Permite substituir investimentos em ativos (CAPEX) por despesas (OPEX), gerando benefcios
fiscais
V12
Aumenta o nvel global de segurana em TI, desde que cumpridos os SLA's pelos fornecedores
4.5
4.5.1
No caso das barreiras adoo da computao em nuvem, foi feito um confronto, antes da
elaborao da lista a ser inserida neste questionrio, entre as 16 barreiras relacionadas no
Quadro 12 e as nove consolidadas no Quadro 5, estas ltimas extradas de estudos
acadmicos. Este confronto levou concluso de que as barreiras indicadas pelos painelistas
constituam-se num conjunto mais amplo, englobando na ntegra o contedo obtido das
referncias bibliogrficas (feitas as adequadas interpretaes das definies) e acrescentando
consideraes no abordadas na literatura consultada, caso especfico das seguintes barreiras:
79
B12 Dvidas quanto ao tratamento a ser recebido de parte do fornecedor, face eventual
baixa representatividade dos servios contratados;
4.5.2
No caso dos benefcios, antes da elaborao da lista a ser inserida neste questionrio, foi
igualmente feito um confronto, desta vez entre os 12 benefcios relacionados no Quadro 13 e
os nove consolidados no Quadro 4, estes ltimos apontados em estudos acadmicos. Este
confronto permitiu concluir que os benefcios citados pelos painelistas coincidiam com parte
dos extrados das referncias bibliogrficas (feitas as adequadas interpretaes das definies)
e identificar dois benefcios relevantes no indicados pelos painelistas, quais sejam: o acesso a
inovaes e a menor mobilizao de recursos destinados a TI. Estes dois benefcios foram
ento numerados, respectivamente, como V13 e V14 e acrescentados lista dos indicados, de
modo a compor a questo especfica sobre este tema neste questionrio.
4.5.3
Apesar de solicitados a indicar dez barreiras e dez benefcios, nem todos os painelistas o
fizeram, tendo sido indicados apenas nove, oito e at mesmo sete elementos em alguns casos.
De todo modo, de posse das respostas, foram elaboradas duas listas consolidadas, uma com as
barreiras e outra com os benefcios, cada uma delas com os dez elementos mais indicados de
cada tipo, representativos, portanto, da opinio coletiva do grupo de painelistas. Para obter os
80
elementos coletivamente mais indicados em cada lista, foi aplicado o mtodo de ordenao
escolhido, j mencionado no tpico 3.5, isto , o mtodo proposto por Kendall e Smith (op.
cit.), com a variante destinada a equacionar a questo dos empates recomendada por Kendall
(op. cit.).
Dado que, neste ciclo, as listas no esto ordenadas pelos painelistas, mas apenas esto
indicados os dez elementos mais relevantes, a cada um deles o mtodo recomenda ser
atribudo o peso 1 e, aos demais no selecionados, o peso 11, caracterizando empates tanto
entre os selecionados quanto entre os no selecionados. Para eliminar os empates, a variante
do mtodo prope substituir os pesos iguais pela mdia aritmtica das posies por eles
ocupadas. Neste caso, como os empates entre os dez elementos indicados se do nas posies
de 1 a 10, os pesos destes elementos so substitudos por 5,5, valor que corresponde mdia
da soma dos valores de 1 a 10; para os elementos no indicados dentre as barreiras (cujas
posies vo de 11 a 16), o peso mdio 13,5 e, dentre os benefcios (cujas posies vo de
11 a 14), o peso mdio 12,5. Para as listas individuais cujas indicaes contemplam menos
que dez elementos, os pesos atribudos aos itens empatados so diferentes destes, pois as
mdias so outras.
Os pesos atribudos aos elementos de todas as listas individuais elaboradas pelos painelistas
esto apresentados na Tabela 1 para as barreiras e na Tabela 2 para os benefcios. Em adio,
essas tabelas contm os resultados dos clculos efetuados para a obteno das listas ordenadas
coletivas; as frmulas de clculo envolvidas, bem como o significado das variveis constantes
das Tabelas 1 e 2, esto apresentados no Apndice 4.
B1
B2
B3
A
4,5
4,5
12,5
B
5,5
5,5
5,5
C
5
5
5
D
4,5
4,5
12,5
E
5,5
5,5
13,5
F
5,5
5,5
5,5
G
5,5
13,5
5,5
H
5,5
5,5
5,5
I
5,5
5,5
5,5
J
12
12
4
K
13
5
5
L
12,5
12,5
12,5
R = ranks 84,5
84,5
92,5
X=R
-17,5 -17,5
-9,5
Y = X^2
306,25 306,25 90,25
Barreiras
B4
B5
B6
B7
B8
B9
B10
B11
B12
B13
B14
B15
12,5
4,5
4,5
12,5
12,5
4,5
12,5
4,5
12,5
12,5
4,5
12,5
5,5
5,5
5,5
5,5
13,5
5,5
13,5
5,5
13,5
13,5
13,5
5,5
13
5
5
13
13
13
13
13
13
5
5
5
12,5
4,5
12,5
12,5
12,5
4,5
4,5
4,5
12,5
12,5
4,5
4,5
13,5
5,5
5,5
5,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
5,5
13,5
5,5
5,5
13,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
5,5
5,5
5,5
5,5
13,5
5,5
5,5
5,5
5,5
13,5
5,5
13,5
13,5
13,5
5,5
5,5
13,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
5,5
13,5
5,5
5,5
5,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
13,5
12
4
12
12
12
4
4
4
4
12
12
12
13
5
5
5
13
13
13
13
5
13
5
5
12,5
4,5
4,5
4,5
4,5
4,5
4,5
4,5
4,5
12,5
12,5
12,5
140,5
60,5
76,5 116,5 140,5
76,5
92,5
76,5 132,5 140,5 124,5 100,5
38,5
-41,5 -25,5
14,5
38,5
-25,5
-9,5
-25,5
30,5
38,5
22,5
-1,5
1482,3 1722,3 650,25 210,25 1482,3 650,25 90,25 650,25 930,25 1482,3 506,25 2,25
=
n = 16
102,0
W = 0,299
m = 12
S = 10652,0
2 = 53,907
B16
4,5
13,5
5
12,5
5,5
5,5
13,5
5,5
5,5
4
5
12,5
92,5
-9,5
90,25
81
Tabela 2 Benefcios Mais Relevantes (Opinio dos Painelistas)
Benefcios
V1
V2
V3
V4
V5
V6
V7
V8
V9
V10
V11
V12
A
11,5
4,5
4,5
11,5
4,5
4,5
11,5
4,5
4,5
11,5
4,5
11,5
B
5,5
5,5
5,5
5,5
5,5
12,5
5,5
5,5
12,5
5,5
5,5
12,5
C
12,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
5,5
5,5
5,5
12,5
D
4
11
11
11
4
4
11
4
11
11
4
11
E
5,5
5,5
5,5
12,5
5,5
5,5
12,5
5,5
12,5
5,5
5,5
12,5
F
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
12,5
G
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
5,5
H
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
12,5
I
5,5
12,5
5,5
5,5
5,5
5,5
12,5
5,5
12,5
5,5
5,5
12,5
J
5,5
5,5
12,5
5,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
12,5
K
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
5,5
L
5
5
5
12
5
5
12
5
12
12
12
5
R = ranks
77
77
77
126
63
70
98
63
133
119
70
126
X =R
-13,0 -13,0 -13,0
36,0
-27,0 -20,0
8,0
-27,0
43,0
29,0
-20,0
36,0
Y = X^2
169,00 169,00 169,00 1296,00 729,00 400,00 64,00 729,00 1849,00 841,00 400,00 1296,00
=
n = 14
90,0
W = 0,404
m = 12
S = 8512,0
2 = 62,980
Painelistas
V13
11,5
12,5
12,5
4
5,5
5,5
12,5
5,5
5,5
5,5
5,5
5
91
1,0
1,00
V14
4,5
5,5
5,5
4
5,5
5,5
5,5
5,5
5,5
5,5
12,5
5
70
-20,0
400,00
Os clculos indicaram, face aos valores obtidos para o coeficiente de concordncia W (0,299
para as barreiras e 0,404 para os benefcios), que havia grau de concordncia baixo entre os
painelistas no caso das barreiras e grau moderado no caso dos benefcios, adotadas as faixas
sugeridas por Schmidt (op. cit.). Ambos os testes de 2 mostraram que W tinha significncia
em nvel p = 0,00001.
Ressalte-se que estas listas coletivas ainda no representavam rankings, pois, neste ciclo, os
painelistas apenas fizeram a escolha das barreiras e benefcios mais relevantes, sem, contudo,
promover qualquer ordenao. Portanto, este ciclo permitiu somente que fossem eliminadas
seis barreiras e quatro benefcios considerados menos relevantes pelo grupo de painelistas.
Essas barreiras e benefcios eliminados esto com seus respectivos pesos, nas listas coletivas
das Tabelas 1 e 2, marcados com um fundo de cor cinza.
4.5.4
No que diz respeito aos riscos, objeto das duas ltimas perguntas deste questionrio, a
compilao e interpretao das indicaes feitas pelos painelistas levou obteno de uma
lista compreendendo 15 riscos distintos, cuja relao, com as respectivas descries j
ajustadas, est apresentada no Quadro 14.
82
Quadro 14 Riscos Potenciais Decorrentes da Adoo da Computao
em Nuvem No Privada Indicados pelos Painelistas
4.6
No.
Enunciado
R1
R2
Erros: falhas que implicam na necessidade de reprocessar rotinas e/ou recuperar dados
R3
Suporte inadequado: falhas de natureza diversa no servio de suporte, tais como pessoal mal
preparado, gargalos no atendimento, indisponibilidade do servio etc.
R4
R5
Dificuldade para escalar: demora excessiva ou dificuldades do provedor para provisionar e/ou
liberar recursos da nuvem
R6
R7
R8
R9
R10
Governana inadequada: modelo de governana adotado pelo provedor possui lacunas e/ou pontos
falhos e no atende s necessidades impostas pelos contratos acordados com seus clientes
R11
Incapacidade: baixa capacidade e/ou inexperincia do provedor para prestar servios da natureza
dos ofertados em ambientes de computao em nuvem
R12
Imaturidade do modelo: baixa maturidade do modelo de prestao de servios em nuvem por ser
muito recente, podendo gerar exposio indevida para os gestores de TI dos clientes
R13
R14
R15
Falta de visibilidade: baixa visibilidade ou, no limite, ausncia total de visibilidade acerca dos
ativos e recursos disponibilizados pelo provedor
83
4.6.1
Antes da elaborao da lista de riscos a ser inserida neste questionrio, foi feito um confronto
entre os 15 riscos relacionados no Quadro 14 e aqueles constantes do Quadro 8, resultantes da
consolidao mencionada no tpico 2.2.5 deste documento. Este confronto permitiu concluir
que todos os riscos citados pelos painelistas coincidiam com parte dos extrados das
referncias bibliogrficas (feitas as adequadas interpretaes das definies) e identificar
cinco riscos relevantes no indicados pelos painelistas, quais sejam: (a) no-conformidade, (b)
licenciamento de software, (c) m reputao do provedor, (d) deficincia de integridade e (e)
vulnerabilidade a ataques por saturao. Estes riscos foram numerados, respectivamente,
como R16 a R20 e acrescentados lista dos indicados, de modo a compor a questo
especfica sobre este tema neste questionrio.
4.6.2
Apesar de solicitados a indicar 12 riscos, nem todos os painelistas o fizeram, tendo sido
indicados apenas 11 e dez elementos em alguns casos.
De todo modo, de posse das respostas, foi elaborada uma lista consolidada com os 12 riscos
mais indicados, representativos, portanto, da opinio coletiva do grupo de painelistas. Para
obter estes 12 riscos, foi aplicado, uma vez mais, o mtodo de ordenao escolhido, proposto
por Kendall e Smith (op. cit.), com a variante destinada a equacionar a questo dos empates
recomendada por Kendall (op. cit.).
84
Dado que neste ciclo a lista tambm no est ordenada pelos painelistas, mas apenas esto
indicados os 12 riscos mais relevantes, a cada um deles o mtodo recomenda ser atribudo o
peso 1 e, aos demais no selecionados, o peso 13, caracterizando empates tanto entre os
selecionados quanto entre os no selecionados. Para eliminar os empates, a variante do
mtodo prope substituir os pesos iguais pela mdia aritmtica das posies por eles
ocupadas. Neste caso, como os empates entre os 12 elementos indicados se do nas posies
de 1 a 12, os pesos destes elementos so substitudos por 6,5, valor que corresponde mdia
da soma dos valores de 1 a 12; para os elementos no indicados, cujas posies vo de 13 a
20, o peso mdio 16,5. Para as listas individuais cujas indicaes contemplam apenas 11 ou
dez elementos, os pesos atribudos aos itens empatados so diferentes destes, pois as mdias
so outras.
Os pesos atribudos aos elementos de todas as listas individuais elaboradas pelos painelistas
esto apresentados na Tabela 3, a qual, adicionalmente, contm os resultados dos clculos
efetuados para a obteno da lista ordenada coletiva. As frmulas de clculo envolvidas, bem
como o significado das variveis constantes desta tabela, constam, conforme j mencionado,
do Apndice 4.
Tabela 3 Riscos Mais Relevantes (Opinio dos Painelistas)
Painelistas
R1
R2
R3
R4
R5
R6
A
16,5
6,5
6,5
6,5
6,5
6,5
B
6,5
16,5 16,5
6,5
6,5
6,5
C
16,5
6,5
6,5
16,5
6,5
16,5
D
16,5
6,5
6,5
6,5
6,5
6,5
E
5,5
15,5
5,5
5,5
5,5
5,5
F
6,5
6,5
6,5
16,5 16,5 16,5
G
6
16
16
6
16
6
H
6,5
16,5 16,5
6,5
6,5
6,5
I
16,5 16,5
6,5
6,5
16,5
6,5
J
6
16
16
6
16
6
K
16
6
6
6
16
16
R = ranks 119
129
109
89
119
99
X =R
3,5
13,5 -6,5 -26,5 3,5 -16,5
Y = X^2
12,25 182,25 42,25 702,25 12,25 272,25
R7
R8
6,5
6,5
6,5
6,5
16,5
6,5
16,5 16,5
5,5
5,5
16,5 16,5
16
6
6,5
6,5
6,5
6,5
6
16
6
6
109
99
-6,5 -16,5
42,25 272,25
n=
m=
Riscos
R9
R10
R11
6,5
16,5 16,5
16,5 16,5
6,5
6,5
6,5
6,5
6,5
16,5
6,5
15,5
5,5
5,5
6,5
16,5 16,5
16
6
6
16,5
6,5
16,5
6,5
16,5
6,5
6
6
6
6
16
16
109
129
109
-6,5 13,5 -6,5
42,25 182,25 42,25
= 115,5
20
11
S = 3255,0
R12
16,5
6,5
6,5
6,5
5,5
16,5
6
16,5
6,5
6
6
99
-16,5
272,25
W=
2 =
R13
16,5
6,5
6,5
16,5
15,5
6,5
6
16,5
16,5
16
6
129
13,5
182,25
0,055
11,571
R14
R15
16,5 16,5
6,5
16,5
6,5
16,5
6,5
6,5
15,5 15,5
6,5
6,5
16
6
6,5
16,5
6,5
6,5
16
6
6
16
109
129
-6,5 13,5
42,25 182,25
R16
6,5
16,5
16,5
16,5
15,5
6,5
6
6,5
16,5
16
6
129
13,5
182,25
R17
R18
R19
6,5
6,5
16,5
16,5
6,5
16,5
16,5 16,5
6,5
6,5
6,5
16,5
15,5 15,5 15,5
6,5
6,5
6,5
16
6
16
6,5
6,5
6,5
16,5
6,5
6,5
16
16
6
6
16
16
129
109
129
13,5 -6,5 13,5
182,25 42,25 182,25
R20
6,5
6,5
6,5
16,5
15,5
6,5
16
16,5
16,5
6
16
129
13,5
182,25
Os clculos indicaram, face ao valor 0,055 obtido para o coeficiente de concordncia W, que,
neste ciclo, havia um grau de concordncia ainda muito baixo entre os painelistas, adotadas as
faixas sugeridas por Schmidt (op. cit.). O teste de 2 mostrou que W tinha significncia
muito baixa (p >> 0,1) e este fato sugeria que tinha que ser buscada, nos ciclos seguintes, uma
85
concordncia maior entre os painelistas, mas no invalidou a escolha, neste passo, dos riscos
mais relevantes.
Ressalte-se, aqui tambm, que esta lista coletiva ainda no representava um ranking, pois,
neste ciclo, os painelistas apenas escolheram os riscos mais relevantes, sem, todavia,
promover qualquer ordenao. Portanto, este ciclo permitiu somente que fossem eliminados
pelos painelistas oito riscos considerados menos relevantes, riscos esses que esto com seus
respectivos pesos, na lista coletiva da Tabela 3, marcados com um fundo de cor cinza.
4.6.3
B1
1
1
1
8
2
4
5
9
9
10
1
51
-9,5
90,25
3
B2
B3
B5
2
8
5
2
5
6
2
8
7
9
10
7
3
10
4
3
6
2
4
7
8
3
4
5
2
3
4
8
7
5
5
6
2
43
74
55
-17,5
13,5
-5,5
306,25 182,25 30,25
2
9
4
n = 10
m = 11
Barreiras
B6
B9
B10
B11
B15
B16
6
4
7
9
10
3
7
8
9
3
10
4
3
5
6
4
9
10
6
5
4
3
2
1
7
6
8
5
9
1
9
5
7
8
10
1
10
6
1
2
9
3
7
6
8
10
1
2
5
8
7
6
10
1
6
4
3
2
9
1
4
3
8
9
10
7
70
60
68
61
89
34
9,5
-0,5
7,5
0,5
28,5 -26,5
90,25 0,25 56,25 0,25 812,25 702,25
8
5
7
6
10
1
=
60,5
W = 0,227
S = 2270,5
2 = 22,517
86
Desdobrando em dois subconjuntos as respostas relativas ao ordenamento das barreiras, tmse em separado os rankings consolidados dos acadmicos e dos profissionais de TI, os quais
esto apresentados nas Tabelas 5 e 6.
Tabela 5 Rankings das Barreiras Mais Relevantes (Acadmicos)
Painelistas
B1
B2
B3
A
1
2
8
B
1
2
5
C
1
2
8
R = ranks
3
6
21
X=R
-13,5 -10,5
4,5
Y = X^2
182,25 110,25 20,25
Posio
1
2
8
n=
m=
B5
5
6
7
18
1,5
2,25
7
10
3
Barreiras
B6
B9
B10
B11
B15
6
4
7
9
10
7
8
9
3
10
3
5
6
4
9
16
17
22
16
29
-0,5
0,5
5,5
-0,5
12,5
0,25
0,25 30,25
0,25 156,25
3
5
9
3
10
=
16,5
W = 0,677
S = 502,5
2 = 18,273
B16
3
4
10
17
0,5
0,25
5
B1
8
2
4
5
9
9
10
1
48
4,0
16
7
B2
9
3
3
4
3
2
8
5
37
-7,0
49
2
B3
10
10
6
7
4
3
7
6
53
9,0
81
8
n=
m=
B5
7
4
2
8
5
4
5
2
37
-7,0
49
2
10
8
Barreiras
B6
B9
6
5
7
6
9
5
10
6
7
6
5
8
6
4
4
3
54
43
10,0
-1,0
100
1
9
4
=
44,0
S = 1286,0
B10
B11
4
3
8
5
7
8
1
2
8
10
7
6
3
2
8
9
46
45
2,0
1,0
4
1
6
5
W = 0,244
2 = 17,536
B15
2
9
10
9
1
10
9
10
60
16,0
256
10
B16
1
1
1
3
2
1
1
7
17
-27,0
729
1
A anlise destas duas ltimas tabelas mostra que, para os acadmicos, o ranking obtido era
relativamente diferente do geral, com trs coincidncias de posies (ranks das barreiras B2,
B9 e B15), uma posio prxima apenas (ranks 8 e 9 para a barreira B3) e quatro
discrepncias significativas (ranks 7 e 4 para a barreira B5, ranks 3 e 8 para a barreira B6,
ranks 3 e 6 para a barreira B11 e ranks 5 e 1 para a barreira B16). J o ranking dos
profissionais de TI era mais semelhante ao geral, com tambm trs coincidncias de posies
(ranks das barreiras B2, B15 e B16), mas cinco posies prximas e somente uma
discrepncia mais significativa (ranks 7 e 3 para a barreira B1). No caso dos acadmicos,
havia um alto grau de concordncia de opinies acerca das barreiras mais relevantes, adotadas
as faixas sugeridas por Schmidt (op. cit.), pois o coeficiente de concordncia foi a 0,677, ao
87
4.6.4
No que diz respeito aos benefcios, a Tabela 7 apresenta seus rankings individuais e o
coletivo, tambm obtidos a partir das respostas a este questionrio. A linha da tabela marcada
com um fundo de cor cinza indica as posies dos benefcios no ranking consolidado.
Neste caso, o coeficiente de concordncia tinha um valor equivalente a 0,144, significando
que tambm este ranking consolidado expressava um grau de concordncia baixo entre os
painelistas, adotadas as faixas sugeridas por Schmidt (op. cit.). O teste de 2 mostrava que W
tinha significncia em nvel p = 0,1.
Tabela 7 Rankings dos Benefcios Mais Relevantes
Painelistas
V1
V2
A
2
3
B
3
2
C
10
8
D
4
3
E
2
7
F
1
2
G
1
7
H
10
1
I
6
9
J
5
7
K
5
2
R = ranks
49
51
X=R
-11,5
-9,5
Y = X^2
132,25 90,25
Posio
2
4
Benefcios
V3
V5
V6
V7
V8
V11
V13
9
4
5
7
8
10
6
4
5
1
6
7
8
10
6
3
4
5
2
1
7
2
9
8
10
7
1
6
3
4
5
10
9
8
6
3
4
6
10
5
9
8
5
4
2
3
6
10
8
2
7
5
4
6
8
3
10
2
3
8
4
5
1
6
4
3
9
10
2
1
3
4
1
6
7
8
9
53
50
43
78
71
70
65
-7,5
-10,5 -17,5
17,5
10,5
9,5
4,5
56,25 110,25 306,25 306,25 110,25 90,25 20,25
5
3
1
10
8
7
6
=
60,5
W = 0,144
n = 10
m = 11
S = 1432,5
2 = 14,207
V14
1
9
9
5
1
7
9
9
7
8
10
75
14,5
210,25
9
88
Tabela 8 Rankings dos Benefcios Mais Relevantes (Acadmicos)
Painelistas
A
B
C
R = ranks
X=R
Y = X^2
Posio
V1
2
3
10
15
-1,5
2,25
4
V2
3
2
8
13
-3,5
12,25
3
V3
V5
9
4
4
5
6
3
19
12
2,5
-4,5
6,25 20,25
7
2
n = 10
m=
3
Benefcios
V6
V7
5
7
1
6
4
5
10
18
-6,5
1,5
42,25 2,25
1
6
=
16,5
S = 140,5
V8
8
7
2
17
0,5
0,25
5
W=
2 =
V11
V13
10
6
8
10
1
7
19
23
2,5
6,5
6,25 42,25
7
10
0,189
5,109
V14
1
9
9
19
2,5
6,25
7
V1
V2
D
4
3
E
2
7
F
1
2
G
1
7
H
10
1
I
6
9
J
5
7
K
5
2
R = ranks
34
38
X=R
-10,0
-6,0
Y = X^2
100,00 36,00
Posio
2
4
V3
V5
2
9
3
4
3
4
5
4
2
7
10
2
6
4
3
4
34
38
-10,0
-6,0
100,00 36,00
2
4
n = 10
m=
8
Benefcios
V6
V7
V8
V11
8
10
7
1
5
10
9
8
6
10
5
9
2
3
6
10
5
4
6
8
3
8
4
5
3
9
10
2
1
6
7
8
33
60
54
51
-11,0
16,0
10,0
7,0
121,00 256,00 100,00 49,00
1
10
8
7
=
44,0
W = 0,179
S = 946,0
2 = 12,900
V13
6
6
8
8
3
1
1
9
42
-2,0
4,00
6
V14
5
1
7
9
9
7
8
10
56
12,0
144,00
9
A anlise destas duas ltimas tabelas mostra que, no caso dos benefcios, verificava-se uma
situao anloga das barreiras. O ranking obtido para os acadmicos era tambm
relativamente diferente do geral, com apenas duas coincidncias de posies (ranks dos
benefcios V6 e V11), duas posies prximas (ranks 3 e 4 para o benefcio V2 e ranks 2 e 3
para o benefcio V5) e trs discrepncias significativas (ranks 6 e 10 para o benefcio V7,
ranks 5 e 8 para o benefcio V8 e ranks 10 e 6 para o benefcio V13). J o ranking dos
profissionais de TI era quase idntico ao geral, com oito coincidncias de posies, uma
posio prxima (ranks 4 e 3 para o benefcio V5) e apenas uma discrepncia significativa
(ranks 2 e 5 para o benefcio V3). Entretanto, as concordncias de opinies permaneciam em
grau baixo em ambos os casos, adotadas as faixas sugeridas por Schmidt (op. cit.), pois o
coeficiente de concordncia W foi a 0,189 para os acadmicos e 0,179 para os profissionais de
TI. O teste de 2 , por seu turno, indicava que, em ambos os casos, a significncia de W era
muito baixa (p >> 0,1), reforando a necessidade de se aguardar um prximo ciclo para
verificar as variaes dos valores de W e poder evoluir nas concluses.
89
4.7
Este ciclo abrangeu o preparo e envio do quarto questionrio relacionado ao tema da pesquisa
e a posterior tabulao e anlise das respostas obtidas.
Este questionrio compreendeu quatro perguntas, sendo a ltima, como de praxe, destinada a
colher comentrios gerais dos painelistas. A primeira questo visou obter dos painelistas a
proposio de um ranking de riscos, a partir das indicaes mais frequentes presentes na
consolidao das respostas dadas questo 3 do ciclo anterior. As duas outras questes
visaram revisar os rankings de barreiras e benefcios estabelecidos na rodada anterior. O texto
na ntegra das perguntas que compuseram este questionrio complementa o Apndice 2.
Este questionrio foi enviado aos 11 painelistas remanescentes, tendo sido excludo aquele
que no enviou suas respostas na rodada anterior. Todos os painelistas responderam.
4.7.1
Ao responder a este questionrio, cada painelista indicou um ranking para riscos e a tabulao
das respostas foi feita com o objetivo de se obter o ranking consolidado. A Tabela 10
apresenta os rankings de riscos, os individuais e o coletivo, este ltimo refletindo a opinio
consolidada do grupo. A linha da tabela marcada com um fundo de cor cinza indica as
posies dos riscos no ranking consolidado.
Tabela 10 Rankings dos Riscos Mais Relevantes
Riscos
R1
R3
R4
R5
R6
R7
R8
R9
R11
R12
R14
R18
A
3
6
1
2
12
5
11
8
7
4
9
10
B
11
12
10
9
7
8
4
5
6
1
2
3
C
3
7
8
5
6
10
11
12
4
2
1
9
D
8
2
1
7
6
9
10
3
4
11
5
12
E
1
12
9
11
4
2
8
7
10
3
5
6
F
3
8
4
7
11
9
12
5
6
2
1
10
G
3
8
5
6
11
10
12
4
7
2
1
9
H
1
3
2
5
4
6
10
7
8
11
9
12
I
4
8
3
7
11
10
12
5
6
2
1
9
J
11
9
8
10
12
7
6
5
4
3
2
1
K
3
7
4
8
11
10
12
5
6
1
2
9
R = ranks 51,0
82,0
55,0
77,0
95,0
86,0 108,0 66,0
68,0
42,0
38,0
90,0
X=R
-20,5
10,5 -16,5
5,5
23,5
14,5
36,5
-5,5
-3,5
-29,5 -33,5
18,5
Y = X^2
420,25 110,25 272,25 30,25 552,25 210,25 1332,25 30,25 12,25 870,25 1122,25 342,25
Posio
3
8
4
7
11
10
12
5
6
2
1
9
=
71,5
W = 0,307
n = 12
m = 11
S = 5305,0
2 = 37,098
Painelistas
90
R1
3
11
3
17,0
-2,5
6,25
4
R3
6
12
7
25,0
5,5
30,25
9
R4
1
10
8
19,0
-0,5
0,25
6
R5
R6
2
12
9
7
5
6
16,0
25,0
-3,5
5,5
12,25 30,25
3
9
n = 12
m=
3
Riscos
R7
R8
R9
5
11
8
8
4
5
10
11
12
23,0
26,0
25,0
3,5
6,5
5,5
12,25 42,25 30,25
8
12
9
=
19,5
W=
S = 389,0
2 =
R11
R12
R14
7
4
9
6
1
2
4
2
1
17,0
7,0
12,0
-2,5
-12,5
-7,5
6,25 156,25 56,25
4
1
2
0,302
9,974
R18
10
3
9
22,0
2,5
6,25
7
R1
R3
D
8
2
E
1
12
F
3
8
G
3
8
H
1
3
I
4
8
J
11
9
K
3
7
R = ranks 34,0
57,0
X=R
-18,0
5,0
Y = X^2
324,00 25,00
Posio
2
7
Riscos
R4
R5
R6
R7
R8
R9
R11
R12
R14
R18
1
7
6
9
10
3
4
11
5
12
9
11
4
2
8
7
10
3
5
6
4
7
11
9
12
5
6
2
1
10
5
6
11
10
12
4
7
2
1
9
2
5
4
6
10
7
8
11
9
12
3
7
11
10
12
5
6
2
1
9
8
10
12
7
6
5
4
3
2
1
4
8
11
10
12
5
6
1
2
9
36,0
61,0
70,0
63,0
82,0
41,0
51,0
35,0
26,0
68,0
-16,0
9,0
18,0
11,0
30,0 -11,0
-1,0
-17,0 -26,0
16,0
256,00 81,00 324,00 121,00 900,00 121,00 1,00 289,00 676,00 256,00
4
8
11
9
12
5
6
3
1
10
=
n = 12
52,0
W = 0,369
m=
8
S = 3374,0
2 = 32,442
A anlise destas duas ltimas tabelas mostra que, no caso dos riscos, o ranking obtido para os
acadmicos relativamente diferente do geral, com apenas uma coincidncia de posies
(rank do risco R8), porm nove posies prximas e duas discrepncias significativas (ranks
3 e 7 para o risco R5 e ranks 9 e 5 para o risco R9). Por seu turno, o ranking dos profissionais
91
de TI bastante semelhante ao geral, com seis coincidncias de posies (ranks dos riscos
R4, R6, R8, R9, R11 e R14) e as outras seis posies prximas, sem nenhuma discrepncia
mais significativa.
Em ambos os casos, h um grau moderado de concordncia de opinies acerca dos riscos
mais relevantes, adotadas as faixas sugeridas por Schmidt (op. cit.), pois o coeficiente de
concordncia de 0,302 para os acadmicos e 0,369 para os profissionais de TI. O teste de
2 mostra que W tem significncia em nvel p = 0,0005, para os profissionais, mas no tem
significncia para os acadmicos (p >> 0,1). Esta situao, muito provavelmente, decorre do
fato de a quantidade de acadmicos participantes ser muito pequena e ter havido discordncias
significativas quanto relevncia de alguns riscos ( o caso de R4, R14 e R18), o que acabou
pesando na consolidao. De todo modo, este aspecto no invalida o ranking geral
consolidado, pois esta anlise segmentada entre acadmicos e profissionais de TI apenas
complementar, sendo vlida, de fato, a anlise para o grupo de painelistas como um todo.
4.7.2
Cada painelista foi solicitado a rever sua ordenao relativa s barreiras, uma vez conhecida a
opinio coletiva do grupo. Como se tratou de uma reviso opcional, apenas alguns optaram
por promover modificaes no ranking indicado de incio. A Tabela 13 apresenta como
ficaram, depois de consideradas as modificaes, os novos rankings individuais e o coletivo.
B1
B2
B3
A
1
2
8
B
2
3
5
C
8
7
4
D
8
9
10
E
2
3
10
F
4
2
9
G
5
4
7
H
9
3
4
I
3
2
9
J
3
2
9
K
3
2
9
R = ranks
48
39
84
X=R
-12,5 -21,5
23,5
Y = X^2
156,25 462,25 552,25
Posio
3
2
9
n=
m=
B5
5
6
9
7
4
3
8
5
4
4
4
59
-1,5
2,25
5
10
11
Barreiras
B6
B9
B10
B11
B15
B16
6
4
7
9
10
3
7
8
9
4
10
1
2
6
1
3
5
10
6
5
4
3
2
1
7
6
8
5
9
1
8
6
7
5
10
1
10
6
1
2
9
3
7
6
8
10
1
2
7
6
8
5
10
1
8
5
7
6
10
1
7
6
8
5
10
1
75
64
68
57
86
25
14,5
3,5
7,5
-3,5
25,5
-35,5
210,25 12,25 56,25 12,25 650,25 1260,3
8
6
7
4
10
1
=
60,5
W = 0,338
S = 3374,5
2 = 33,466
92
B1
1
2
8
11
-5,5
30,25
1
B2
2
3
7
12
-4,5
20,25
2
B3
B5
8
5
5
6
4
9
17
20
0,5
3,5
0,25 12,25
6
9
n = 10
m=
3
Barreiras
B6
B9
6
4
7
8
2
6
15
18
-1,5
1,5
2,25
2,25
4
8
=
16,5
S = 146,5
B10
7
9
1
17
0,5
0,25
6
W=
2 =
B11
B15
9
10
4
10
3
5
16
25
-0,5
8,5
0,25 72,25
5
10
0,197
5,327
B16
3
1
10
14
-2,5
6,25
3
B1
8
2
4
5
9
3
3
3
37
-7,0
49
3
B2
9
3
2
4
3
2
2
2
27
-17,0
289
2
B3
10
10
9
7
4
9
9
9
67
23,0
529
10
n=
m=
B5
7
4
3
8
5
4
4
4
39
-5,0
25
4
10
8
Barreiras
B6
B9
6
5
7
6
8
6
10
6
7
6
7
6
8
5
7
6
60
46
16,0
2,0
256
4
8
6
=
44,0
S = 2588,0
B10
B11
4
3
8
5
7
5
1
2
8
10
8
5
7
6
8
5
51
41
7,0
-3,0
49
9
7
5
W = 0,490
2 = 35,291
B15
2
9
10
9
1
10
10
10
61
17,0
289
9
B16
1
1
1
3
2
1
1
1
11
-33,0
1089
1
Aps a reviso, o novo ranking dos acadmicos relativamente diferente do geral, com
apenas duas coincidncias de posies (ranks das barreiras B2 e B15), duas posies
93
prximas (ranks das barreiras B10 e B11) e trs discrepncias significativas (ranks 6 e 9 para
a barreira B3, ranks 9 e 5 para a barreira B5 e ranks 4 e 8 para a barreira B6). Por seu turno, o
novo ranking dos profissionais de TI altamente semelhante ao geral, com seis coincidncias
de posies (ranks das barreiras B1, B2, B6, B9, B10 e B16) e as outras quatro posies
prximas (ranks das barreiras B3, B5, B11 e B15).
Houve uma inverso nos graus de concordncia, adotadas as faixas sugeridas por Schmidt
(op. cit.). Os acadmicos, entre os quais havia uma alta concordncia, tiveram seu coeficiente
reduzido para 0,197, ao passo que os profissionais de TI, cuja concordncia apresentava um
grau baixo, tiveram seu coeficiente aumentado para 0,490, o que agora representa um grau
moderado. O teste de 2 mostra que W tem significncia em nvel p = 0,0001, para os
profissionais de TI, mas no tem significncia para os acadmicos. A explicao para esta
situao verificada com os acadmicos a mesma j apresentada acima para o caso dos
riscos.
4.7.3
Do mesmo modo, cada painelista foi solicitado a rever sua ordenao relativa aos benefcios,
uma vez conhecida a opinio coletiva do grupo. Como se tratou, uma vez mais, de uma
reviso opcional, tambm apenas alguns optaram por promover modificaes no ranking
indicado de incio. A Tabela 16 apresenta como ficaram, depois de consideradas as
modificaes, os novos rankings individuais e o coletivo.
Tabela 16 Rankings dos Benefcios Mais Relevantes (Aps Reviso)
Painelistas
V1
V2
V3
V5
A
2
3
9
4
B
3
2
4
5
C
9
1
4
5
D
4
3
2
9
E
2
5
6
3
F
1
3
5
4
G
1
7
5
4
H
10
1
2
7
I
1
2
4
5
J
2
4
5
3
K
5
2
3
4
R = ranks
40
33
49
53
X=R
-20,5 -27,5 -11,5
-7,5
Y = X^2
420,25 756,25 132,25 56,25
Posio
3
1
4
5
n = 10
m = 11
Benefcios
V6
V7
V8
V11
V13
5
7
8
10
6
1
6
7
8
10
7
6
8
10
3
8
10
7
1
6
1
10
9
8
7
2
10
8
9
6
2
3
6
10
8
5
4
6
8
3
3
8
9
10
6
1
10
8
7
6
1
6
7
8
9
36
80
83
89
70
-24,5
19,5
22,5
28,5
9,5
600,25 380,25 506,25 812,25 90,25
2
8
9
10
6
=
60,5
W = 0,389
S = 3886,5
2 = 38,544
V14
1
9
2
5
4
7
9
9
7
9
10
72
11,5
132,25
7
94
V1
2
3
9
14
-2,5
6,25
4
V2
3
2
1
6
-10,5
110,25
1
V3
9
4
4
17
0,5
0,25
5
n=
m=
V5
4
5
5
14
-2,5
6,25
4
10
3
Benefcios
V6
V7
V8
V11
5
7
8
10
1
6
7
8
7
6
8
10
13
19
23
28
-3,5
2,5
6,5
11,5
12,25
6,25 42,25 132,25
3
7
9
10
=
16,5
W = 0,461
S = 342,5
2 = 12,455
V13
6
10
3
19
2,5
6,25
7
V14
1
9
2
12
-4,5
20,25
2
V1
V2
V3
V5
D
4
3
2
9
E
2
5
6
3
F
1
3
5
4
G
1
7
5
4
H
10
1
2
7
I
1
2
4
5
J
2
4
5
3
K
5
2
3
4
R = ranks
26
27
32
39
X =R
-18,0 -17,0 -12,0
-5,0
Y = X^2
324,00 289,00 144,00 25,00
Posio
2
3
4
5
n = 10
m=
8
Benefcios
V6
V7
V8
V11
V13
8
10
7
1
6
1
10
9
8
7
2
10
8
9
6
2
3
6
10
8
5
4
6
8
3
3
8
9
10
6
1
10
8
7
6
1
6
7
8
9
23
61
60
61
51
-21,0
17,0
16,0
17,0
7,0
441,00 289,00 256,00 289,00 49,00
1
9
7
9
6
=
44,0
W = 0,447
S = 2362,0
2 = 32,209
V14
5
4
7
9
9
7
9
10
60
16,0
256,00
7
Aps a reviso, o ranking obtido para os acadmicos pouco diferente do geral, com trs
coincidncias de posies (ranks dos benefcios V2, V8 e V11), seis posies prximas e
95
apenas uma discrepncia significativa (ranks 2 para 7, para o benefcio V14). J o ranking dos
profissionais de TI bastante semelhante ao geral, com quatro coincidncias de posies
(ranks dos benefcios V4, V5, V13 e V14) e as outras oito posies prximas, sem nenhuma
discrepncia mais significativa.
Tanto para os acadmicos quanto para os profissionais de TI, os coeficientes de concordncia
elevaram-se a um patamar ainda acima do ranking geral, indo, respectivamente, a 0,461 e
0,447, representando, em ambos os casos, um grau de concordncia moderado, adotadas as
faixas sugeridas por Schmidt (op. cit.). O teste de 2 mostra que W tem significncia em
nvel p = 0,0001, para os profissionais, mas no tem significncia para os acadmicos. A
explicao para esta situao verificada com os acadmicos a mesma j apresentada acima
para os casos dos riscos e das barreiras.
4.8
4.9
As concluses finais acerca da viso dos painelistas relativamente aos riscos, benefcios e
barreiras potenciais associados aos ambientes de computao em nuvem no privada esto
apresentadas nos dois prximos captulos deste documento.
96
97
De modo a poder cumprir com o objetivo principal, seria ainda necessrio fazer as
recomendaes com vistas a auxiliar os consumidores de servios de computao em nuvem a
tratar adequadamente a questo dos riscos, ou seja, conforme estabelecido neste objetivo:
identificar os riscos, compreend-los e preparar-se para gerenci-los, de modo tal a poder
contratar servios oferecidos em nuvens com grau aceitvel de risco. E , ento, o que feito
neste captulo, no qual so apresentadas e detalhadas as recomendaes voltadas a risco.
5.1
O painel Delphi realizado mostrou, na viso dos painelistas participantes, quais riscos
inerentes computao em nuvem no privada, sob a tica dos consumidores de servios
desta natureza, devem ser considerados com mais ateno. O ranking coletivo obtido ao final
do painel est reproduzido no Quadro 15, o qual agrega, na coluna mais direita, a indicao
do grupo (conforme definido no Quadro 8) ao qual cada risco pode ser associado. Aos riscos
98
R11, R12 e R14, que no constam do Quadro 8, foram atribudos grupos de acordo com o
mesmo critrio adotado no tpico 2.2.5.
Quadro 15 Ranking de Riscos Potenciais Inerentes Computao
em Nuvem No Privada
Posio No. Enunciado
Grupo de Riscos
R1
R4
R9
R5
R3
10
R7
11
R6
12
R8
Aprisionamento:
dificuldade
significativa
ou,
no
limite, Estruturais
impossibilidade de trocar de provedor, devido a particularidades do
ambiente e/ou aspectos contratuais
99
O risco alado condio de mais relevante diz respeito dificuldade para integrar diferentes
aplicativos de um mesmo ou de distintos fornecedores, dando a entender que os painelistas
consideram vivel contratar servios de mais de um provedor, buscando as solues que se
mostrarem mais convenientes. O risco de se defrontar com baixa interoperabilidade, que
ocupa a quinta posio no ranking, refora este ponto de vista.
O segundo risco considerado mais relevante refere-se imaturidade do modelo de prestao
de servios em nuvem e o nico risco no operacional entre os cinco primeiros do ranking.
Este risco reflete a preocupao dos gestores de TI quanto a se expor indevidamente perante
suas organizaes, caso suas escolhas relativas a provedores e servios contratados
apresentem problemas que venham a impactar os negcios. o visceral debate entre escolher
ser um pioneiro ou aguardar a consolidao das novas tecnologias para s depois aderir a elas.
A terceira, a quarta e a quinta posies do ranking esto ocupadas por riscos operacionais:
falta de privacidade, baixo desempenho e baixa interoperabilidade. So questes tcnicas da
maior importncia e sua colocao no topo do ranking reflete as preocupaes dos painelistas
para com a violao de dados e aplicativos, para com o desempenho insatisfatrio e o
consequente no cumprimento dos acordos de nvel de servio contemplados nos contratos e
ainda para com restries ao intercmbio de dados e aplicativos entre distintos provedores.
Num bloco intermedirio, ocupando da sexta nona posies, esto colocados riscos
estruturais e operacionais que acabaram por ser considerados pelos painelistas como
demandadores de ateno apenas mediana. Neste conjunto, esto as questes da incapacidade
do provedor para prestar servios da natureza dos da computao em nuvem, da dificuldade
apresentada pelo provedor para viabilizar o provisionamento e a liberao dinmicos de
recursos, da inadequao do suporte oferecido pelo provedor e do no atendimento a aspectos
ditados pela legislao ou disciplinados por padres de larga aceitao na indstria.
Chama a ateno, por fim, o fato de os riscos de no-continuidade e indisponibilidade
ocuparem posies menos relevantes no ranking consolidado, o que, de certa forma, no
retrata o senso comum, pois estes deveriam ser pontos de redobrada ateno, pelo potencial
impacto negativo que podem gerar nos negcios. Talvez esta baixa importncia se deva ao
fato de os painelistas considerarem que os provedores aos quais j esto vinculados ou que
100
5.2
Para atender na plenitude ao objetivo principal estabelecido para este estudo, estas
recomendaes devem possibilitar: (a) que os riscos inerentes computao em nuvem sejam
identificados e compreendidos e (b) que os consumidores de servios oferecidos em nuvens
possam se preparar para gerenciar estes riscos, com vistas a mant-los em patamares
aceitveis, que propiciem a segurana necessria para a realizao de contrataes.
Este estudo no contempla, entre seus objetivos, a recomendao ou a proposio de um
roteiro ou sistemtica para gesto dos riscos inerentes computao em nuvem, mas apenas
visa focar nas j mencionadas recomendaes que possam contribuir para o tratamento destes
riscos. Entretanto, para tornar didtica a apresentao das recomendaes, necessrio
referenciar um esquema para gesto de riscos, o que est sendo feito, sem, todavia, a
conotao de recomend-lo como um preferido.
Isto posto, considere-se ento como referncia o esquema para gesto de riscos j apresentado
na Figura 10 e proposto por Westerman e Hunter (op. cit.), do qual interessam, mais
especificamente, apenas duas das suas cinco etapas, dado que as demais ocupam-se de temas
no diretamente associados com o foco desta anlise. Para sinalizar as duas etapas relevantes,
este esquema est reapresentado na Figura 15, com destaque para as mesmas, que so: (a)
identificar e avaliar riscos e (b) priorizar riscos e atribuir responsabilidades.
Figura 15 Etapas Destacadas da Gesto dos Riscos da TI
Poltica e
Normas
Identificar e
Avaliar Riscos
Avaliao
de Risco
Priorizar
Riscos e Atribuir
Responsabilidades
Riscos
Priorizados
e Atribudos
Definir Poltica e
Normas de Risco
Mensuraes e
Status Correntes
Monitorar e
Rastrear Riscos
Status das
Aes
101
Na realidade, nem so estas duas etapas na ntegra que tm relevncia para introduzir as
recomendaes. Da etapa de identificao e avaliao dos riscos, o foco recai somente na
identificao e, da etapa de priorizao e atribuio de responsabilidades, na priorizao
apenas. Os passos de avaliao e atribuio de responsabilidades j pressupem a existncia
de uma sistemtica de gesto de riscos, o que remete s consideraes feitas dois pargrafos
acima, qual seja, o "como" estes passos devem ser executados no est no escopo deste
estudo.
Portanto, as recomendaes aqui colocadas para o tratamento dos riscos aplicam-se s partes
acima explicitadas das duas etapas destacadas na Figura 15. Evidentemente, estas
recomendaes s tm validade se considerada a existncia de um processo formal e
sistemtico de avaliao de riscos, sem o que se torna invivel coloc-las em prtica.
Em detalhe, pode-se afirmar que se tem:
Neste caso, deve-se assumir que o elenco de riscos potenciais est definido pelo
resultado obtido com o painel Delphi;
Uma vez identificados os riscos potenciais, pode-se prioriz-los, sob a tica do maior ou
menor impacto potencial que cada um apresenta;
Neste caso, uma vez mais o resultado do painel Delphi contribui, pois j trs no seu bojo
uma sugesto para priorizao dos riscos, representada pelo ranking coletivo obtido em
decorrncia do trabalho de ordenao realizado pelos especialistas envolvidos.
102
Recomendao 1:
Recomendao 2:
103
Recomendao 2:
Justificativa:
Este elenco de riscos retrata a opinio coletiva de um grupo de especialistas em
computao em nuvem, os quais, ao longo do trabalho de anlise que realizaram,
alm de contribuir com sua experincia pessoal, tiveram ainda a oportunidade de
conhecer e revisar a opinio de diversos acadmicos que anteriormente se
ocuparam deste tema.
Recomendao 3:
104
105
Cumpridos todos os objetivos a que este estudo se props, este captulo trata das concluses e
das consideraes finais, explorando os aspectos mais relevantes relacionados s barreiras,
benefcios e riscos inerentes aos ambientes de computao em nuvem.
6.1
Conforme destacado no tpico 4.4, o painel Delphi realizado contribuiu com a indicao,
pelos especialistas envolvidos, de 16 barreiras potenciais que podem inibir a adoo da
computao em nuvem. Por outro lado, a literatura acadmica pouco tem explorado a questo
das barreiras e a pesquisa bibliogrfica realizada neste estudo encontrou apenas duas
referncias a este tema, menes feitas por Miller (op. cit.) e por Marks e Lozano (op. cit.) e
exploradas no tpico 2.1.6 deste documento; estas fontes forneceram nove outras barreiras (as
quais esto relacionadas no Quadro 5), porm nenhuma, em essncia, acrescentou novidades a
este tema.
Portanto, como j explorado no tpico 4.5, foram ento submetidas 16 barreiras anlise dos
painelistas, com vistas a obter o elenco das dez mais relevantes e seu subsequente
ordenamento em ordem de importncia. O resultado final deste trabalho, que se desenvolveu
ao longo dos trs ltimos ciclos do painel, est apresentado no Quadro 16.
Quadro 16 Ranking de Barreiras Potenciais Adoo da
Computao em Nuvem No Privada
Posio No. Enunciado
1
B2
Riscos inerentes ao modelo de servios, muitos dos quais ainda desconhecidos e que
podem no ser adequadamente esclarecidos pelo fornecedor
B1
B5
Dvidas quanto segurana que possa vir a ser oferecida pelo fornecedor
B9
106
Quadro 16 Ranking de Barreiras Potenciais Adoo da
Computao em Nuvem No Privada (cont.)
Posio No. Enunciado
7
B6
B3
10
B4
B7
B8
B12 Dvidas quanto ao tratamento a ser recebido de parte do fornecedor, face eventual baixa
representatividade dos servios contratados
B13 Receio quanto comunicao com um fornecedor estrangeiro, por conta de dificuldades
com o idioma
Focando nesse ranking de barreiras construdo com a colaborao dos painelistas, verifica-se
que a barreira por eles considerada a mais importante coloca uma questo bsica em pauta: o
que transferir para nuvens? Aplicaes crticas para o negcio podem ser transferidas ou
devem ser processadas em instalaes prprias?
O roteiro elaborado pela CSA (op. cit.), apresentado no tpico 2.2.6 deste documento, aborda
exatamente esta questo, oferecendo um instrumental que possibilita a uma organizao
avaliar e definir o que ela entende como passvel de ser colocado em nuvens, face aos riscos
que est propensa a correr.
Analisando a sequncia do ranking, interessante notar que as barreiras que ocupam as duas
posies seguintes so relacionadas, de certa forma, ao modelo de negcios da computao
em nuvem, explorando o aspecto do ainda pouco tempo de maturao deste modelo, o que,
sem dvida, trs tona questionamentos e dvidas acerca da convenincia de aderir a ele j
neste momento.
107
6.2
No que diz respeito aos benefcios, a literatura acadmica mais profcua. No tpico 2.1.5
deste documento esto citados quatro autores e um total de 17 benefcios potenciais por eles
apresentados e detalhados, dentre os quais alguns bastante assemelhados e que acabaram por
ser reduzidos a apenas nove distintos, que esto relacionados no Quadro 4. Os painelistas, por
sua vez, conforme destacado no tpico 4.4, contriburam com outros 12 benefcios e, do
confronto entre essas duas listas, concluiu-se que vrios itens tinham o mesmo significado, o
que acabou por levar a uma relao final de 14 benefcios efetivamente diferentes entre si.
Portanto, como j explorado no tpico 4.5, foram ento submetidos esses 14 benefcios
anlise dos painelistas, com vistas a obter o elenco dos dez mais relevantes e seu subsequente
ordenamento em ordem de importncia. O resultado final deste trabalho, que tambm ocorreu
ao longo dos trs ltimos ciclos do painel, est apresentado no Quadro 17.
Quadro 17 Ranking de Benefcios Potenciais Decorrentes da
Adoo da Computao em Nuvem No Privada
Posio No. Enunciado
1
V2
V6
V1
V3
V5
V13 Facilita o acesso a inovaes, tornando possvel utilizar novos tipos de aplicativos e
servios no possveis em outras condies
108
Quadro 17 Ranking de Benefcios Potenciais Decorrentes da
Adoo da Computao em Nuvem No Privada (cont.)
Posio No. Enunciado
8
V7
V8
10
V11 Permite substituir investimentos em ativos (CAPEX) por despesas (OPEX), gerando
benefcios fiscais
V4
V9
V12 Aumenta o nvel global de segurana em TI, desde que cumpridos os SLA's pelos
fornecedores
Dentre os quatro benefcios considerados mais importantes, trs deles ( exceo daquele que
ocupa a segunda posio no ranking) tem como foco e beneficiria direta a prpria rea de TI.
Este fato se justifica, em boa parte, em decorrncia de a maioria dos painelistas serem
executivos atuantes na rea e terem colocado suas prprias expectativas em alta conta, o que
no de todo criticvel.
O benefcio colocado na segunda posio do ranking destaca-se, ento, como o mais relevante
sob a tica dos negcios, traduzindo a viso dos painelistas acerca da importncia de
disponibilizar novos servios e aplicativos s suas organizaes no mais curto intervalo de
tempo possvel.
Analisando o ranking na sequncia, v-se que os benefcios que ocupam as posies seguintes
contemplam equitativamente a rea de TI e a organizao como um todo, ao passo que os que
foram desconsiderados tm foco integralmente centrado em TI. Esta situao demonstra que,
apesar de terem sido considerados como mais importantes trs benefcios que trazem em seu
bojo vantagens diretas para as reas de TI, na avaliao global os painelistas tiveram uma
postura equilibrada quanto construo deste ranking, no se atendo exclusivamente a
valorizar benefcios em causa prpria.
109
6.3
6.4
Consideraes Finais
Este estudo objetivou explorar questes relevantes relativas a um tema atual e de importncia
crescente no campo da TI, a computao em nuvem. A cada dia, e com maior intensidade
nestes dois anos mais recentes, a computao em nuvem vem marcando presena crescente
entre as opes que se apresentam para o equacionamento das questes relativas TI por
parte das instituies e organizaes de negcio. Relembrando a frase de Victor Hugo citada
na epgrafe, todas as evidncias indicam que a oportunidade da computao em nuvem
chegou.
Porm, este um tema que ainda deixa um tanto desconfortveis os executivos de TI, quando
se deparam com questionamentos acerca da pertinncia e da convenincia de contratar, para
suas instituies e organizaes, servios oferecidos em ambientes de nuvem no privada.
De fato, a computao em nuvem no uma novidade simples de ser adotada. Muito pelo
contrrio, para adot-la pode ser necessrio enfrentar barreiras de difcil transposio, as quais
acabam por atuar no sentido de desestimular os mais otimistas executivos de TI. Mas
possvel reconhecer e avaliar antecipadamente estas barreiras potenciais e este estudo
incumbiu-se de explicit-las e oferecer aos candidatos adoo da computao em nuvem um
quadro realista do que podem ter que enfrentar.
110
Por outro lado, fica evidenciado com esta pesquisa que a computao em nuvem pode trazer
benefcios concretos para as instituies e organizaes que vierem a aderir a ela. Esta
questo fica patente nas concluses obtidas relativamente aos benefcios passveis de serem
auferidos com a computao em nuvem. Um elenco de benefcios relevantes foi compilado e
ordenado neste estudo e pode servir de guia para aqueles que ainda tenham dvidas ou
necessitem justificar sua entrada neste novo ambiente.
Contrapondo-se aos benefcios, os riscos tambm se apresentam como outro foco de ateno e
que, obrigatoriamente, deve ser considerado no processo de avaliao quanto viabilidade de
contratao de solues em nuvem. Como mencionado no tpico 2.2.1 deste documento, na
viso contempornea, riscos confrontam ameaas com benefcios e sua adequada
compreenso e gesto pode confinar as ameaas e abrir caminhos para que se usufrua dos
benefcios. Um extenso rol de riscos foi explorado neste estudo, parte deles extrados da
bibliografia consultada e parte aportados pelos painelistas, culminando com a elaborao de
um ranking dos 12 riscos considerados mais relevantes. De posse desse ranking e seguindo as
recomendaes explicitadas no tpico 5.2, instituies, organizaes e executivos de TI tm
sua disposio um instrumental capaz de auxili-los na compreenso dos riscos inerentes
computao em nuvem e a se autopreparar para gerenci-los, tornando a contratao de
servios em ambientes de computao em nuvem no privada uma tarefa mais segura.
Acreditamos que, com o trabalho realizado ao longo do painel Delphi, do qual participaram
executivos com ampla experincia de atuao em TI e acadmicos com largo envolvimento
com a TI, estes temas riscos, barreiras e benefcios, que se colocam entre os mais
significativos associados computao em nuvem, foram explorados em todas as suas
nuances e chegou-se a resultados prticos de valia.
Deve-se, entretanto, a favor da segurana, tratar com parcimnia os resultados obtidos neste
estudo, dadas as limitaes impostas pelo mtodo de pesquisa utilizado. Como todo mtodo
que se baseia na opinio de um grupo de especialistas secundados por um moderador, o
Delphi no est isento de incorporar vcios aos seus resultados, seja pelas restries impostas
pelo tamanho e pela composio do grupo de painelistas, seja pelos conhecimentos efetivos
de seus componentes sobre o tema da pesquisa ou ainda por falhas do processo aplicado e/ou
de interpretao e de capacidade de anlise do moderador.
111
Em decorrncia, este estudo deixa uma abertura para a realizao de pesquisas futuras sobre o
tema, com vistas a validar os resultados aqui obtidos, por meio do emprego de mtodos que
possibilitem realizar inferncias e generalizaes e que sejam isentos da opinio de um grupo
restrito de especialistas e da interveno de um moderador.
De todo modo, de se considerar que, com a aplicao de um justo senso crtico, os
resultados aqui apresentados possam ser utilizados para minorar os esforos de profissionais
de TI e de instituies e organizaes que pretendam dar seus primeiros passos no complexo
ambiente da computao em nuvem, bem como daqueles que, j devidamente inseridos e
partcipes desta opo tecnolgica, queiram ou tenham a necessidade de rever conceitos e
posies assumidos.
Como contribuio maior, este estudo oferece, acima de tudo, uma viso realista acerca da
computao em nuvem e coloca disposio daqueles que efetivamente por ela se interessam,
por vontade prpria ou dever de ofcio, um rol de observaes e recomendaes teis e
oportunas.
112
113
REFERNCIAS BIBLIOGRFICAS
ARMBRUST, Michael et al. Above the clouds: a Berkeley view of cloud computing.
Technical Report No. UCB/EECS-2009-28. Berkeley, CA (US): University of California,
Berkeley Electrical Engineering and Computer Sciences, 2009. Disponvel em: <http://
www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf>. Acesso em 08/07/2010.
AYMERICH, Francesco Maria et al. An aproach to a cloud computing network. In:
Proceedings of the 1st International Conference on the Applications of Digital Information
and Web Technologies (ICADIWT). Washington, DC (US): IEEE Computer Society, p. 113118, Ago/2008.
BANDYOPADHYAY, Subhajyoti et al. Cloud computing: the business perspective.
Disponvel em: <http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1413545>. Acesso em
08/07/2010.
BITSCH, Friedemann. Safety patterns - the key to formal specification of safety requirements.
In: VOGES, Udo (Org.), Proceedings of the 20th Conference on Computer Safety,
Reliability and Security - SAFECOMP (Lecture Notes in Computer Science). Heidelberg:
Springer, v. 2187, p. 176-189, 2001.
BORGES, Eline Lima. Tratamento tpico de lcera venosa: proposta de uma diretriz
baseada em evidncias. Ribeiro Preto (SP), 2005. Tese (Doutorado em Enfermagem) Programa de Ps-Graduao em Enfermagem, Escola de Enfermagem de Ribeiro Preto da
Universidade de So Paulo.
BUYYA, Rajkumar et al. Cloud computing and emerging IT platforms: vision, hype, and
reality for delivering computing as the 5th utility. Future Generation Computer Systems.
Amsterdam: Elsevier, v. 25, n. 6, p. 599-616, Jun/2009.
CARR, Nicholas G. The big switch: rewiring the world, from Edison to Google. New York,
NY (US): W. W. Norton, 2008.
CLOUD SECURITY ALLIANCE (CSA). Security Guidance for Critical Areas of Focus in
Cloud Computing - Version 2.1. Cloud Security Alliance, Dez/2009.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION (COSO). Enterprise risk management - Integrated framework (executive
summary). COSO, Set/2004.
COSTA, Janana Anchieta. Atividades de enfermagem no centro de material e
esterilizao: subsdios para o dimensionamento de pessoal. So Paulo, 2009. Dissertao
(Mestrado em Enfermagem) - Programa de Ps-Graduao em Enfermagem, Escola de
Enfermagem da Universidade de So Paulo.
114
COSTA E SILVA, Angelo Just da. Mtodo para gesto das atividades de manuteno de
revestimentos de fachada. So Paulo, 2008. Tese (Doutorado em Engenharia) - Programa de
Ps-Graduao em Engenharia Civil, Departamento de Engenharia de Construo Civil,
Escola Politcnica da Universidade de So Paulo.
CROUHY, Michel et al. The essentials of risk management. New York, NY (US): McGrawHill, 2006.
CUNHA, Jacqueline V. A. da. Doutores em Cincias Contbeis da FEA/USP: anlise sob a
ptica da teoria do capital humano. So Paulo, 2007. Tese (Doutorado em Cincias
Contbeis) - Programa de Ps-Graduao em Cincias Contbeis, Departamento de
Contabilidade e Aturia, Faculdade de Economia, Administrao e Contabilidade da
Universidade de So Paulo.
CZINKOTA, Michael R.; RONKAINEN, Ilkka A. International business and trade in the
next decade: report from a Delphi study. Journal of International Business Studies. East
Lansing, MI (US): Academy of International Business, v. 28, n. 4, p. 827-844, Dez/1997.
DALKEY, Norman C. Delphi. Santa Monica, CA (US): Rand Corporation, Out/1967.
DALKEY, Norman C. The Delphi method: an experimental study of group opinion. Santa
Monica, CA (US): Rand Corporation, Jun/1969.
DALKEY, Norman C.; HELMER, Olaf. An experimental application of the Delphi method
to the use of experts. Santa Monica, CA (US): Rand Corporation, Jul/1962.
DANTAS, Manuela Modesto. Proposio de aes para melhoria da produtividade da
concretagem em edifcios verticais. So Paulo, 2006. Dissertao (Mestrado em Engenharia)
- Programa de Ps-Graduao em Engenharia Civil, Departamento de Engenharia de
Construo Civil, Escola Politcnica da Universidade de So Paulo.
DELBECQ, Andre L. et al. Group techniques for program planning. Chicago, IL (US):
Scott, Foresman, 1975.
ENOKI, Cesar Hidetoshi. Gesto de processos de negcio: uma contribuio para a
avaliao de solues de business process management (BPM) sob a tica da estratgia de
operaes. So Paulo, 2006. Dissertao (Mestrado em Engenharia) - Programa de PsGraduao em Engenharia de Produo, Departamento de Engenharia de Produo, Escola
Politcnica da Universidade de So Paulo.
EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY (ENISA). Cloud
computing: benefits, risks and recommendations for information security. Heraklion: ENISA,
Nov/2009.
115
EWALD, Franois. Insurance and risk. In: BURCHELL, Graham et al. The Foucault effect:
studies in governmentality. Chicago, IL (US): The University of Chicago Press, p. 197-210,
1991.
F5 NETWORKS. Cloud computing - Survey results. Seattle, WA (US): F5 Networks,
Jul/2009.
FRIEDMAN, Milton. A comparison of alternative tests of significance for the problem of m
rankings. The Annals of Mathematical Statistics. Beachwood, OH (US): Institute of
Mathematical Statistics, v. 11, n. 1, p. 86-92, Mar/1940.
GATEWOOD, Brent. Clouds on the information horizon: how to avoid the storm.
Information Management Journal. Overland Park, KS (US): ARMA International, v. 43, n.
4, p. 32-36, Jul-Ago/2009.
GIMENES, Celso Huerta. Formao de competncias gerenciais: um fator de
desenvolvimento de lideranas estudo de caso no IPEN. So Paulo, 2009. Dissertao
(Mestrado em Cincias) - Programa de Ps-Graduao em Cincias, Instituto de Pesquisas
Energticas e Nucleares.
GONTIJO, Liliane P. T. Construindo as competncias do cirurgio-dentista na ateno
primria em sade. Ribeiro Preto (SP), 2007. Tese (Doutorado em Sade Pblica) Programa de Ps-Graduao em Sade Pblica, Escola de Enfermagem de Ribeiro Preto da
Universidade de So Paulo.
GRAEFE, Andreas; ARMSTRONG, J. S. Comparing face-to-face meetings, nominal groups,
Delphi and prediction markets on an estimation task. International Journal of Forecasting.
Medford, MA (US): International Institute of Forecasters, v. 27, n. 1, p. 183-195, JanMar/2011.
GROSSMAN, Robert L. The case for cloud computing. IT Professional. Washington, DC
(US): IEEE Computer Society, v. 11, n. 2, p. 23-27, Mar-Abr/2009.
GUPTA, Uma G.; CLARKE, Robert E. Theory and applications of the Delphi technique: a
bibliography. Technological Forecasting and Social Change. Amsterdam: Elsevier, v. 53, n.
2, p. 185-211, Out/1996.
HABEGGER, Beat. Risk analysis and management in a dynamic risk landscape. In: ______
(Org.). International handbook on risk analysis and management. Zurich: ETH Zurich Center for Security Studies (CSS), p. 13-32, 2008.
HALLOWELL, Matthew R.; GAMBATESE, John A. Qualitative research: application of the
Delphi method to CEM research. Journal of Construction Engineering and Management.
Reston, VA (US): American Society of Civil Engineers, v. 136, n. 1, p. 99-107, Jan/2010.
116
117
118
QIAN, Ling et al. Cloud computing: an overview. In: JAATUN, Martin G. et al. (Org.),
Proceedings of the 1st Conference on Cloud Computing (Lecture Notes in Computer
Science). Heidelberg: Springer, v. 5931, p. 626-631, Dez/2009.
PADILHA, Maria Luiza de M. L. Indicadores de desenvolvimento sustentvel para o setor
txtil. So Paulo, 2009. Tese (Doutorado em Sade Pblica) - Programa de Ps-Graduao
em Sade Pblica, Faculdade de Sade Pblica da Universidade de So Paulo.
PERROCA, Marcia Galan. Sistema de classificao de pacientes: construo e validao de
um instrumento. So Paulo, 1996. Dissertao (Mestrado em Enfermagem) - Programa de
Ps-Graduao em Enfermagem, Escola de Enfermagem da Universidade de So Paulo.
RAND CORPORATION. 2004 Annual report: building on a legacy. Santa Monica, CA
(US): Rand Corporation, 2005.
RAZ, Tzvi; HILLSON, David. A comparative review of risk management standards. Risk
Management: An International Journal. Hampshire, UK: Palgrave Macmillan, v. 7, n. 4, p.
53-66, Out/2005.
RIBEIRO, Maria Alice M. Contribuio ao estudo do impacto ambiental das pilhas a
combustvel de baixa e mdia temperatura atravs da metodologia Delphi. So Paulo,
2009. Tese (Doutorado em Cincias) - Programa de Ps-Graduao em Cincias, Instituto de
Pesquisas Energticas e Nucleares.
ROCHA, Marcos Augusto. Estudo das habilidades tcnicas do ataque na posio quatro
do voleibol. So Paulo, 2009. Tese (Doutorado em Educao Fsica e Esporte) - Programa de
Ps-Graduao em Educao Fsica e Esporte, Escola de Educao Fsica e Esporte da
Universidade de So Paulo.
ROWE, Gene et al. Delphi: a reevaluation of research and theory. Technological
Forecasting and Social Change. Amsterdam: Elsevier, v. 39, n. 3, p. 235-251, Mai/1991.
ROWE, Gene; WRIGHT, George. The Delphi technique as a forecasting tool: issues and
analysis. International Journal of Forecasting. Amsterdam: Elsevier, v. 15, n. 4, p. 353375, Out/1999.
ROWE, Gene; WRIGHT, George. Expert opinions in forecasting: the role of the Delphi
technique. In: ARMSTRONG, Jon Scott (Org.), Principles of forecasting: a handbook for
researchers and practiotioners (International Series in Operations Research & Management
Sciences). Heidelberg: Springer, v. 30, p. 125-144, 2001.
SANTOS, Carlos Roberto dos. ndice de qualidade laboratorial (IQL): uma proposta para
laboratrios de controle ambiental. So Paulo, 2009. Tese (Doutorado em Sade Pblica) Programa de Ps-Graduao em Sade Pblica, Faculdade de Sade Pblica da Universidade
de So Paulo.
119
120
121
APNDICES
Apndice 1 Dissertaes e Teses de Autores Brasileiros Empregando o Mtodo Delphi .. 122
Apndice 2 Questionrios Aplicados no Painel Delphi ...................................................... 124
Apndice 3 Resumo do Perfil dos Painelistas ..................................................................... 138
Apndice 4 Variveis e Frmulas de Clculo Relativas ao Painel Delphi.......................... 140
122
Ano Autor
rea
Ttulo
Enfermagem
Engenharia
Civil
Enfermagem
Enfermagem
Engenharia
Civil
TI
Enfermagem
Recursos
Humanos
Enfermagem
Sade
Ambiental
123
Ano Autor
rea
Ttulo
Enfermagem
Esporte
Tecnologia
Nuclear
Educao
124
Questionrio do Ciclo 0
125
126
127
Questionrio do Ciclo 1
128
129
130
Questionrio do Ciclo 2
131
132
Questionrio do Ciclo 3
133
134
135
Questionrio do Ciclo 4
136
137
138
Acadmicos:
Formao
Atividades Acadmicas
Atividades Complementares
1 Administrador de Empresas
Professor em cursos de
Coordenador Adjunto do
graduao
e
ps-graduao
Programa de Doutorado em
Especializado em Economia
na
Universidade
Federal
do
Administrao da
Mestre e Doutor em Administrao
Rio
Grande
do
Sul
Universidade Federal do Rio
de Empresas
Grande do Sul
2 Engenheiro Mecnico de Produo Professor em cursos de
Consultor autnomo nas
graduao e especializao
reas de tecnologia da
Ps-Graduado em Administrao
para graduados na Escola de informao, reestruturao
de Empresas
organizacional,
Administrao de Empresas
Mestre e Doutor em Administrao
desenvolvimento de
de
So
Paulo
da
Fundao
de Empresas, com nfase em
Getlio
Vargas
atividades empresariais,
Sistemas de Informao
desenho e implantao de
Professor do MBA da
sistemas de planejamento e
Business School de So
controle e investimentos
Paulo
3 Engenheiro e Mestre em
Engenharia Eltrica
Doutor em Administrao de
Empresas
Professor em cursos de
graduao, especializao
para graduados e psgraduao na Universidade
Federal do Rio Grande do
Norte
Coordenador de cursos de
especializao na
Universidade Federal do Rio
Grande do Norte
Profissionais de TI:
Cargos e Organizaes
Ttulos dos
Cargos
Ocupados
Gerente Executivo de TI
Diretor de TI e Processos
Assessor de Tecnologia da Informao
CIO Latin America
Diretor
Chefe do Departamento de Informtica
Gerente de TI
Gerente de Infra-estrutura de TI
Diretor Administrativo
Assessor de TI
Diretor de Operaes e TI
IT Director International for Sales&Ops
Coordenador de TI
Ramos de
Atividade e
Tamanho da
rea de TI *
Tecnologia da Informao
Cartes de Benefcios
Servios Financeiros
Banco
Indstria Grfica
Servios Postais
Agro-negcio
Integrao e Gesto de Programas de Fidelizao
Prestao de Servios em TI
Bureau de Crdito
Energia Eltrica
Indstria e Distribuio de Produtos para Panificao
Indstria de Bens Durveis e de Consumo
50 (150)
450 (400)
70 (30)
100 (30)
9 (6)
3000 (150)
800 (400)
82 (400)
10 (0)
500 (250)
100 (15)
3 (0)
no informado
* Os nmeros frente dos ramos de atividade indicam as quantidades de profissionais alocados atividade de TI,
funcionrios contratados e terceiros, estes entre parnteses.
139
Qualificao Profissional
Grau de Conhecimento
Disciplina
Pleno
Bom
Mediano
Razovel
Mnimo
Gesto de investimentos em TI
Computao em nuvem
Riscos em TI
Gesto de Riscos
Publicaes de Referncia
Publicao / Editor
L frequentemente L esporadicamente
No l
No conhece
InfoExame
Computerworld
Computerworld Brasil
CIO Magazine
InformationWeek Brasil
TI Inside
Gartner Group
Forrester Research
IDC
Aberdeen
ACM
IEEE
McKinsey
FGV
140
Varivel / Definio
Frmula
Rk = rank kj
j
x = m(n + 1) / 2
Xk
X k = Rk x
Yk
Yk = X k
S = Yk
tij
Tj
T j = (tij3 tij ) / 12
W = S /(( n 3 n) m 2 / 12 m T j )
2 = m(n 1)W