Sidney Chaves VC

UNIVERSIDADE DE SO PAULO
FACULDADE DE ECONOMIA, ADMINISTRAO E CONTABILIDADE

DEPARTAMENTO DE ADMINISTRAO
PROGRAMA DE PS-GRADUAO EM ADMINISTRAO
A QUESTO DOS RISCOS EM AMBIENTES

DE COMPUTAO EM NUVEM
Sidney Chaves
Orientador: Prof. Dr. Cesar Alexandre de Souza
Verso Corrigida
(verso original disponvel na Unidade que aloja o Programa)
SO PAULO
2011
Prof. Dr. Joo Grandino Rodas

Reitor da Universidade de So Paulo
Prof. Dr. Reinaldo Guerreiro
Diretor da Faculdade de Economia, Administrao e Contabilidade
Prof. Dr. Adalberto Amrico Fischmann
Chefe do Departamento de Administrao
Prof. Dr. Lindolfo Galvo de Albuquerque
Coordenador do Programa de Ps-Graduao em Administrao
SIDNEY CHAVES
A QUESTO DOS RISCOS EM AMBIENTES

DE COMPUTAO EM NUVEM
Dissertao apresentada ao Departamento de

Administrao da Faculdade de Economia,
Administrao
e
Contabilidade
da
Universidade de So Paulo, como requisito
para a obteno do ttulo de Mestre em
Administrao.
Orientador: Prof. Dr. Cesar Alexandre de Souza
Verso Corrigida
(verso original disponvel na Unidade que aloja o Programa)
SO PAULO
2011
ii
Dissertao defendida e aprovada no Departamento de

Administrao da Faculdade de Economia, Administrao e
Contabilidade da Universidade de So Paulo Programa de
Ps-Graduao em Administrao, pela seguinte banca
examinadora: Prof. Dr. Cesar Alexandre de Souza, Prof. Dr.
Hiroo Takaoka e Prof. Dr. Manoel Veras Souza Neto.
FICHA CATALOGRFICA
Elaborada pela Seo de Processamento Tcnico do SBD/FEA/USP
Chaves, Sidney
A questo dos riscos em ambientes de computao em nuvem /
Sidney Chaves. -- So Paulo, 2011.
150 p.
Dissertao (Mestrado) Universidade de So Paulo, 2011.
Orientador: Cesar Alexandre de Souza.
1. Tecnologia da informao 2. Computao em nuvem 3. Administrao de risco 4. Tcnica Delphi I. Universidade de So Paulo. Faculdade
de Economia, Administrao e Contabilidade II. Ttulo.
CDD 658.4038
iii
Para Mnica, querida companheira de todos

os momentos, cuja compreenso e incentivo
foram mais do que decisivos para que
este trabalho pudesse ser realizado.
iv
Agradecimentos
Meu sincero agradecimento, em primeiro lugar, ao Prof. Dr. Cesar Alexandre de Souza,
orientador deste trabalho, pela oportuna sugesto do tema e pelas intervenes sempre
precisas e didticas ao longo dos prolongados meses durante os quais este estudo se
desenvolveu.
Agradeo tambm ao Prof. Dr. Hiroo Takaoka, pela valiosa contribuio quando da
participao na banca do exame de qualificao, com intervenes e sugestes que, tenho
certeza, fizeram por melhorar enormemente a qualidade deste trabalho.
Meu agradecimento, ainda, aos demais professores das disciplinas que cursei ao longo do
Programa de Mestrado, cujos ensinamentos em muito contriburam para que mais esta etapa
da minha histria acadmica pudesse ser cumprida.
Da mesma forma, agradeo Lcia Abe, pelo incessante apoio, pela infindvel pacincia e,
sempre atenta, pelas inmeras dicas e sugestes de textos e eventos sobre computao em
nuvem.
Como no poderia deixar de ser, meus agradecimentos aos participantes do painel Delphi que
propiciou a obteno das informaes que viabilizaram este estudo aos executivos de
tecnologia da informao, cujos nomes devo, por compromisso, manter em anonimato e,
especialmente, aos Profs. Drs. Antonio Carlos Gastaud Maada, Jakow Grajew e Manoel
Veras de Souza Neto.
Por fim, mas talvez em primeiro por importncia, meu sincero e carinhoso obrigado
Mnica, minha esposa, e Mariana, minha filha, por terem suportado minha ausncia e pouca
ateno enquanto estive envolvido com este estudo e por me terem retribudo com dedicao,
incentivo e apoio incondicionais.
"Nada to poderoso no mundo como uma

ideia cuja oportunidade chegou."
Victor Hugo
vi
RESUMO
Este documento apresenta e descreve o trabalho de pesquisa realizado com vistas a
estabelecer recomendaes destinadas a auxiliar consumidores de servios de computao em
nuvem a tratar a questo dos riscos inerentes a este ambiente, de modo tal a poder contratar
servios desta natureza com grau aceitvel de risco. Para atender a este objetivo e aos demais
objetivos secundrios definidos, o estudo foi conduzido em cinco fases: reviso da literatura
relativa computao em nuvem, escolha e estruturao do mtodo de pesquisa, aplicao do
mtodo de pesquisa, proposio das recomendaes para o tratamento dos riscos e elaborao
das concluses. A reviso da literatura compreendeu um amplo levantamento bibliogrfico
sobre computao em nuvem, com nfase na sua definio, nos modelos de referncia e nos
tpicos barreiras, benefcios e riscos. A escolha do mtodo de pesquisa envolveu o processo
de seleo do Delphi, acompanhado por outro extenso levantamento bibliogrfico, desta feita
sobre este mtodo, e foi seguida da definio da sistemtica a ser adotada para aplic-lo
especificamente nesta pesquisa; para aplicar o Delphi, foi escolhida a modalidade ranking
form, por meio da qual se tornou possvel determinar, aps a realizao de cinco rodadas do
painel e contando com a participao de um grupo de especialistas formado por acadmicos e
profissionais de tecnologia da informao, rankings para as barreiras, os benefcios e os riscos
associados computao em nuvem. A partir do ranking dos riscos, foram estabelecidas as
recomendaes destinadas a satisfazer ao objetivo principal da pesquisa, que se traduzem, em
linhas gerais, na indicao de quais riscos potenciais devem ser observados e tratados com
maior grau de ateno pelas instituies, organizaes e executivos de tecnologia da
informao que pretendam dar seus primeiros passos no universo da computao em nuvem,
bem como por aqueles que, j devidamente inseridos neste ambiente, queiram ou tenham a
necessidade de rever conceitos e posies assumidos. Por fim, as concluses e consideraes
finais contemplaram a anlise dos resultados obtidos no painel Delphi relativamente s
barreiras e aos benefcios. Como contribuio maior, este estudo oferece, acima de tudo, uma
viso realista acerca da computao em nuvem e coloca disposio daqueles que
efetivamente por ela se interessam, por vontade prpria ou dever de ofcio, um rol de
observaes e recomendaes teis e oportunas.
Palavras-chave: Tecnologia da informao, Computao em nuvem, Administrao de risco,
Tcnica Delphi.
vii
ABSTRACT
This report presents and depicts the research carried out in order to find out recommendations
that may possibly assist consumers of cloud computing services to deal with risks intrinsic to
that architecture, so that consumers can be able to contract those kinds of services within an
acceptable level of risk. The research comprised five phases to satisfy this main objective and
also the secondary ones set up for it: review the literature related to cloud computing, choose
and configure the research method, run the research method, find out the recommendations
and make conclusions. The review of the literature consisted of an extensive bibliography
research about cloud computing, putting emphasis on its definitions and reference models and
on three other connected topics: barriers, benefits and risks. The choice of the research
method encompassed the selection of the Delphi method seconded by another wide
bibliography research, this time focused on the method itself, and was followed by the
configuration of the Delphi method in order to get a script to be adopted to make properly use
of the method in this research; to apply the Delphi method, it was chosen its "ranking form",
that made possible, after five rounds and counting with the involvement of a group
comprising academic people and information technology professionals, to establish rankings
for barriers, benefits and risks, all related to cloud computing. Based on the ranking of risks,
the recommendations destined to satisfy the research's main objective were thought up; in
general, these recommendations can be viewed as indicatives of which potentials risks must
be observed and treated in an upper attention level by institutions, organizations and
information technology executives that intend to take their first steps toward cloud computing
universe, as long as by those companies and people that, despite by now inserted in that
architecture, want to or must review concepts and positions already took on. At last,
conclusions and final considerations were written, both derived from the analysis of the
results regarding barriers and benefits extracted from the Delphi panel. Above all, this study,
as its major contribution, offers a realistic view on the subject of cloud computing and puts a
list of useful and timely reflections and recommendations within reach of those who are
effectively interested in them, by proper will or due to duties.
Keywords: Information technology, Cloud computing, Risk management, Delphi method.
SUMRIO
Lista de Quadros......................................................................................................................... 3
Lista de Tabelas .......................................................................................................................... 4
Lista de Figuras .......................................................................................................................... 5
1 Introduo ............................................................................................................................. 7
1.1 Apresentao ................................................................................................................ 7
1.2 Questo de Pesquisa ................................................................................................... 10
1.3 Objetivos da Pesquisa ................................................................................................ 10
1.3.1 Objetivo Principal ........................................................................................... 10
1.3.2 Objetivos Secundrios .................................................................................... 10
1.4 Justificativa para o Estudo ......................................................................................... 11
1.5 Organizao da Pesquisa ............................................................................................ 12
2 Reviso da Literatura e Consideraes ............................................................................... 13
2.1 Computao em Nuvem ............................................................................................. 13
2.1.1 Histrico e Definies para Computao em Nuvem..................................... 13
2.1.2 Semelhanas nas Definies para Computao em Nuvem ........................... 16
2.1.3 Modelos de Referncia para Computao em Nuvem.................................... 17
2.1.4 Semelhanas, Divergncias, Pontos Fortes e Deficincias dos Modelos de
Referncia para Computao em Nuvem ....................................................... 20
2.1.5 Benefcios Potenciais Associados Computao em Nuvem ........................ 21
2.1.6 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem ........ 25
2.2 Risco e Gesto de Riscos ........................................................................................... 28
2.2.1 Definies para Risco ..................................................................................... 28
2.2.2 Definies e Roteiros para Gesto de Riscos ................................................. 30
2.2.3 Riscos Inerentes TI e Gesto de Riscos em TI ............................................ 35
2.2.4 Riscos Inerentes Computao em Nuvem ................................................... 40
2.2.5 Consideraes Sobre a Questo do Risco na Computao em Nuvem .......... 46
2.2.6 Gesto de Riscos na Computao em Nuvem ................................................ 47
2.2.7 Consideraes Sobre as Proposies Relativas Segurana e Gesto de
Riscos na Computao em Nuvem ................................................................. 51
3 Mtodo de Pesquisa ............................................................................................................ 53
3.1 O Mtodo Delphi: Definio e Histrico ................................................................... 53
3.2 Modalidades e Sistemticas de Aplicao do Mtodo Delphi ................................... 55
3.3 Exemplos de Aplicao do Mtodo Delphi ............................................................... 61
3.4 Justificativa para a Escolha do Mtodo Delphi .......................................................... 63
3.5 O Mtodo Delphi Aplicado a Este Estudo ................................................................. 66
4 Realizao do Painel Delphi ............................................................................................... 73
4.1 Esquematizao do Painel .......................................................................................... 73
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
Montagem do Grupo de Painelistas ........................................................................... 74

Realizao do Ciclo 0 do Painel................................................................................. 75
4.5.1 Preparo da Questo Relativa s Barreiras ....................................................... 78
4.5.2 Preparo da Questo Relativa aos Benefcios .................................................. 79
4.5.3 Respostas Relativas s Barreiras e Benefcios ................................................ 79
4.5.4 Respostas Relativas aos Riscos ...................................................................... 81
4.6.1 Preparo da Questo Relativa aos Riscos ......................................................... 83
4.6.3 Respostas Relativas s Barreiras .................................................................... 85
4.6.4 Respostas Relativas aos Benefcios ................................................................ 87
4.7.2 Respostas Relativas s Barreiras .................................................................... 91
4.7.3 Respostas Relativas aos Benefcios ................................................................ 93
Supresso do Ciclo 5 do Painel .................................................................................. 95
Elaborao das Concluses ........................................................................................ 95
5 Recomendaes para o Tratamento dos Riscos Inerentes Computao em Nuvem ....... 97

5.1 Riscos Inerentes Computao em Nuvem ............................................................... 97
5.2 Recomendaes para Tratamento dos Riscos .......................................................... 100
6 Concluses e Consideraes Finais .................................................................................. 105
6.1 Concluses Acerca das Barreiras ............................................................................. 105
6.2 Concluses Acerca dos Benefcios .......................................................................... 107
6.3 Concluses Acerca dos Riscos e seu Tratamento .................................................... 109
6.4 Consideraes Finais ................................................................................................ 109
Referncias Bibliogrficas ..................................................................................................... 113
Apndices ............................................................................................................................... 121
LISTA DE QUADROS
Quadro 1 Definies para "Computao em Nuvem"........................................................... 14
Quadro 2 Definies de Acadmicos para "Computao em Nuvem" ................................. 14
Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem ............................. 17
Quadro 4 Benefcios Potenciais Associados Computao em Nuvem .............................. 24
Quadro 5 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem ............... 27
Quadro 6 Graus de Qualificao das Disciplinas Focais de Gesto dos Riscos da TI .......... 38
Quadro 7 Riscos de Origem Tcnica Presentes na Computao em Nuvem ........................ 45
Quadro 8 Consolidao dos Riscos Inerentes Computao em Nuvem............................. 46
Quadro 9 Princpios Prticos para Aplicao do Mtodo Delphi ......................................... 60
Quadro 10 Comparao Entre Sistemticas de Aplicao do Mtodo Delphi ...................... 67
Quadro 11 Dimensionamento de Painis Delphi .................................................................. 68
Quadro 12 Barreiras Potenciais Adoo da Computao em Nuvem No Privada
Indicadas pelos Painelistas ....................................................................................................... 77
Quadro 13 Benefcios Potenciais Decorrentes da Adoo da Computao em Nuvem No
Privada Indicados pelos Painelistas.......................................................................................... 77
Quadro 14 Riscos Potenciais Decorrentes da Adoo da Computao em Nuvem No
Privada Indicados pelos Painelistas.......................................................................................... 82
Quadro 15 Ranking de Riscos Potenciais Inerentes Computao em Nuvem No Privada
.................................................................................................................................................. 98
Quadro 16 Ranking de Barreiras Potenciais Adoo da Computao em Nuvem No
Privada .................................................................................................................................... 105
Quadro 17 Ranking de Benefcios Potenciais Decorrentes da Adoo da Computao em
Nuvem No Privada ............................................................................................................... 107
LISTA DE TABELAS
Tabela 1 Barreiras Mais Relevantes (Opinio dos Painelistas)............................................. 80
Tabela 2 Benefcios Mais Relevantes (Opinio dos Painelistas) .......................................... 81
Tabela 3 Riscos Mais Relevantes (Opinio dos Painelistas)................................................. 84
Tabela 4 Rankings das Barreiras Mais Relevantes................................................................ 85
Tabela 5 Rankings das Barreiras Mais Relevantes (Acadmicos) ........................................ 86
Tabela 6 Rankings das Barreiras Mais Relevantes (Profissionais de TI) .............................. 86
Tabela 7 Rankings dos Benefcios Mais Relevantes ............................................................. 87
Tabela 8 Rankings dos Benefcios Mais Relevantes (Acadmicos) ..................................... 88
Tabela 9 Rankings dos Benefcios Mais Relevantes (Profissionais de TI) ........................... 88
Tabela 10 Rankings dos Riscos Mais Relevantes ................................................................. 89
Tabela 11 Rankings dos Riscos Mais Relevantes (Acadmicos) .......................................... 90
Tabela 12 Rankings dos Riscos Mais Relevantes (Profissionais de TI) ............................... 90
Tabela 13 Rankings das Barreiras Mais Relevantes (Aps Reviso).................................... 91
Tabela 14 Rankings das Barreiras Mais Relevantes (Acadmicos Aps Reviso) ............... 92
Tabela 15 Rankings das Barreiras Mais Relevantes (Profissionais de TI Aps Reviso) .... 92
Tabela 16 Rankings dos Benefcios Mais Relevantes (Aps Reviso) ................................. 93
Tabela 17 Rankings dos Benefcios Mais Relevantes (Acadmicos Aps Reviso) ............ 94
Tabela 18 Rankings dos Benefcios Mais Relevantes (Profissionais de TI Aps Reviso) .. 94
LISTA DE FIGURAS
Figura 1 Estgios da Terceirizao de Servios de TI ............................................................ 8
Figura 2 Estimativa de Gastos com Computao em Nuvem ................................................. 9
Figura 3 Representao Grfica do Modelo do NIST para Computao em Nuvem ........... 19
Figura 4 Ofertas de Servios em Nuvens vs. Tecnologias de Acesso................................... 19
Figura 5 Representao Grfica do Cubo da Nuvem ............................................................ 20
Figura 6 Diagrama Explicativo das Situaes de Segurana e Perigo .................................. 28
Figura 7 Roteiro para Gesto de Riscos ................................................................................ 32
Figura 8 Modelo Ampliado para Gesto de Riscos............................................................... 32
Figura 9 Pirmide dos Riscos da TI ...................................................................................... 36
Figura 10 Etapas da Governana dos Riscos da TI ............................................................... 37
Figura 11 Processo de Gesto dos Riscos da TI.................................................................... 39
Figura 12 Sistemtica para Aplicao do Mtodo Delphi em 3 Ciclos ................................ 58
Figura 13 Sistemtica para Escolha de Especialistas para um Painel Delphi ....................... 60
Figura 14 Ciclos de Aplicao do Mtodo Delphi Neste Estudo .......................................... 73
Figura 15 Etapas Destacadas da Gesto dos Riscos da TI .................................................. 100
1.1
INTRODUO
Apresentao
Na busca por servios de Tecnologia da Informao, TI, com melhores relaes benefcio/
custo, as instituies e organizaes de negcios tm optado por mesclar servios de
provimento prprio com os adquiridos de terceiros. Neste ltimo decnio, cresceram e se
diversificaram de modo significativo tanto a procura quanto a oferta de servios de TI por
parte, respectivamente, de clientes em potencial e provedores dos mais diversos tipos.
De uma oferta, no passado, centrada em recursos de infra-estrutura e na cesso de direitos de
uso de aplicativos, o leque se abriu para servios da mais diversa natureza. Esta evoluo e
diversificao acabaram por propiciar o surgimento de servios contratveis sob demanda e
com a caracterstica de permitir aos tomadores optar por adquirir pacotes que englobam tanto
recursos de software quanto de hardware e de comunicao de dados, pacotes estes
secundados por compromissos de atendimento dentro de padres de nvel de servio. Nesta
formatao, torna-se indiferente aos tomadores dos servios o local onde fisicamente o
processamento ocorre ou mesmo onde os dados so armazenados, importando a
disponibilizao dos resultados acordados, com o nvel de atendimento pactuado.
A computao est se tornando uma utilidade e, uma vez mais, as regras econmicas que
determinam o modo de trabalhar e viver das pessoas esto sendo reescritas, semelhana do
que ocorreu no passado, por exemplo, com a eletricidade e a telefonia. Data centers operados
isoladamente por empresas esto sendo substitudos por servios providos num ambiente
comum, a Internet, por instalaes centralizadas de processamento de dados. Face s
vantagens econmicas do modelo de utilidades, as instituies e organizaes esto
repensando o modo pelo qual se dispem a comprar e usar a TI ao invs de destinar
volumes expressivos de recursos de caixa para adquirir computadores e programas, elas esto
considerando conectar-se a este novo ambiente. Trata-se de uma mudana to significativa
que promete no apenas impactar a funo de TI das instituies e organizaes, mas tambm
surpreender a indstria da computao como um todo (CARR, 2008).
Esta nova forma de prestao de servios de TI foi rotulada "computao em nuvem",

expresso traduzida da original em ingls "cloud computing". O instituto de pesquisas
Forrester Research, por exemplo, elaborou um modelo que busca explicitar os diferentes
estgios da terceirizao de servios de TI, com base na tecnologia aplicada e no modo de
oferecimento desses servios. Neste modelo, reproduzido na Figura 1, a computao em
nuvem referenciada como a modalidade mais evoluda de terceirizao de servios de TI
(STATEN et al., 2008).
Figura 1 Estgios da Terceirizao de Servios de TI
ISP Internet Service Provider
ASP Application Service Provider
ISP 1.0
Acesso
Internet
ISP 2.0
Acesso a
servidores
Co-locao (ISP 3.0)

Local para instalao
de equipamentos
Nuvem (ISP 5.0)

Infra-estrutura otimizada
e dinmica para hospedar
aplicativos
ASP (ISP 4.0)

Hospedagem de
aplicativos em
servidores
SaaS
Aplicativos e
servios baseados
em Internet
FONTE: Adaptado de STATEN et al.; 2008; p. 7.
Apesar de se constituir numa modalidade relativamente nova de terceirizao de servios de

TI, a computao em nuvem j conta com um leque bastante razovel de ofertas e provedores.
A OpenCrowd (2010), prestadora de servios de TI, relaciona 18 distintos tipos de servios
oferecidos por meio de nuvens, por cerca de duas centenas de provedores. A International
Data Corporation, IDC (2010), especializada em estudos na rea de TI, projeta um aumento
significativo no volume de negcios de computao em nuvem at 2014 (alguns nmeros
desta pesquisa esto apresentados na Figura 2).
Entretanto, apesar dos aspectos positivos e dos benefcios potenciais que a cercam, a
computao em nuvem, como toda novidade, est sujeita a imperfeies e anormalidades,
mais ainda por se tratar de algo intangvel, como o caso dos servios. Nesse contexto,
natural, e at esperado, que os tomadores destes servios enfrentem barreiras e fiquem
expostos a um nvel de risco nem sempre visvel, s vezes excessivo e de difcil mensurao.
9
Figura 2 Estimativa de Gastos com Computao em Nuvem
2009 (Total = US$ 16,5 Bi)
2014 (Total = US$ 55,5 Bi)
Armazenagem
9%
Armazenagem
13%
Servidores
12%
Servidores
14%
Aplicativos
Operao
37%
Aplicativos
Operao
49%
Infra-estrutura
de Software
20%
Infra-estrutura
de Software
20%
Aplicativos
Desenvolvimento
10%
Aplicativos
Desenvolvimento
16%
FONTE: Adaptado de IDC; 2010.
Vm sendo notados esforos por parte da comunidade de fornecedores, no sentido de tornar

menos impactantes as barreiras e de tratar de forma mais estruturada os riscos inerentes a este
novo tipo de oferta. Do mesmo modo, os tomadores de servios tambm vm se organizando,
com vistas a superar as barreiras e a exigir padres mnimos aceitveis de risco e segurana a
serem implementados nas ofertas, para poder, como contrapartida, usufruir dos benefcios
potenciais da computao em nuvem.
Dada esta realidade, aparentava ser de muita valia (e, de fato, tornou-se o fator motivador
deste estudo) uma anlise mais detalhada de todos esses esforos, focada particularmente nos
consumidores desta modalidade de servios, de modo a:
Identificar e apresentar, de uma maneira ordenada, as propostas at ento colocadas para o

tratamento das questes das barreiras e dos riscos inerentes computao em nuvem;
Explicitar as semelhanas e divergncias verificadas nas distintas proposies

identificadas, bem como seus pontos fortes e deficincias;
Explorar e verificar a pertinncia e adequao das recomendaes constantes das

proposies identificadas;
Propor um elenco de recomendaes endereadas ao tratamento dos riscos em ambientes

de computao em nuvem.
10
1.2
Questo de Pesquisa
Dado o contexto acima apresentado, a questo de pesquisa considerada neste estudo foi:
"Como reconhecer e lidar com os riscos inerentes adoo da computao em nuvem, sob a
tica dos consumidores desta modalidade de servios?"
Para responder a esta questo, foram explorados em detalhe os conceitos de computao em
nuvem, de risco e de gesto de riscos e entendeu-se como adoo o ato voluntrio de adquirir
um determinado servio ou conjunto de servios agregados. No mbito das instituies e
organizaes de negcio, a adoo, via de regra, amparada por um processo formal de
aquisio, por conta do qual so feitas chamadas de fornecedores, cotaes de preos,
formalizao de contratos e outros processos correlatos.
1.3
1.3.1
Objetivos da Pesquisa
Objetivo Principal
O objetivo principal desta pesquisa pode ser enunciado como "fazer recomendaes com
vistas a auxiliar consumidores de servios de computao em nuvem a tratar a questo dos
riscos, ou seja, identific-los, compreend-los e preparar-se para gerenci-los, de modo tal a
poder, nesses ambientes, contratar servios com grau aceitvel de risco".
1.3.2
Objetivos Secundrios
Complementando o objetivo principal acima explicitado, fixaram-se os seguintes objetivos

secundrios para a pesquisa:
Identificar os benefcios potenciais citados em estudos acadmicos como passveis de ser

obtidos, pelos consumidores de servios, com a adoo da computao em nuvem;
Identificar e apresentar, de maneira ordenada, as propostas oriundas do meio acadmico

para o tratamento, por parte dos consumidores de servios, das questes das barreiras e dos
riscos inerentes computao em nuvem;
Explicitar semelhanas, divergncias, pontos fortes e deficincias das distintas propostas

identificadas, relativamente a barreiras e benefcios;
11
Explorar e verificar a pertinncia e adequao dos benefcios apontados e das

recomendaes relativas a barreiras e riscos constantes das propostas identificadas.
1.4
Justificativa para o Estudo
Um estudo da natureza deste aqui proposto justifica-se, no momento presente, sob dois
distintos enfoques: o acadmico e o profissional.
No que diz respeito ao mundo acadmico, este trabalho vem preencher uma lacuna, dado que
no nos foi possvel encontrar, na pesquisa bibliogrfica realizada, nenhum outro esforo
assemelhado, seja no meio acadmico brasileiro seja no internacional. A pesquisa
bibliogrfica, empregando os argumentos "cloud computing" e "computao em nuvem",
abrangeu consultas s bases ProQuest, Scielo e EnANPAD e buscas no Google
(www.google.com). Os trabalhos e pesquisas identificados e analisados, ainda que bem
estruturados e consubstanciados, representam vises particulares e isoladas sobre os temas
aqui tratados, sem focar, entretanto, a comparao ou a convergncia de vises.
Em decorrncia, entendemos que este trabalho pode oferecer uma contribuio efetiva ao
tratamento das questes dos benefcios, barreiras e riscos que envolvem as ofertas de servios
em ambientes de computao em nuvem. Seno por outro motivo, este trabalho, no mnimo,
tem o mrito de produzir e disponibilizar um material relativo ao tema, til a pesquisadores e
acadmicos.
Por outro lado, sob o ponto de vista do ambiente profissional, h tambm no apenas uma
lacuna, mas toda uma diversidade de agentes, enfoques, terminologias e proposies
referentes aos temas objeto desta pesquisa, diversidade esta que j est a requerer, se no uma
padronizao, ao menos uma unificao, que possa proporcionar aos tomadores de servios
avaliarem de maneira mais homognea as ofertas que lhes so apresentadas.
12
1.5
Organizao da Pesquisa
Tendo em vista o tema central e a questo de pesquisa definidos e ainda os objetivos

estabelecidos, o seguinte roteiro de trabalho foi projetado para a pesquisa e cumprido:
Fase 1 Reviso da literatura e consideraes:
Contemplou uma ampla reviso da literatura referente ao tema central da pesquisa, a

computao em nuvem, e a elaborao de consideraes sobre os tpicos explorados
barreiras, benefcios e riscos.
Fase 2 Escolha e estruturao do mtodo de pesquisa:
Compreendeu uma segunda rodada de reviso da literatura, desta feita focando o mtodo
Delphi, adotado como instrumento metodolgico principal do estudo;
Adicionalmente, englobou a definio da sistemtica de aplicao do mtodo Delphi a

este estudo em particular.
Fase 3 Realizao do painel Delphi:
Objetivou a estruturao e realizao propriamente ditas do painel e contemplou ainda a

anlise dos resultados obtidos em cada ciclo.
Fase 4 Proposio de recomendaes para o tratamento dos riscos:
Abrangeu a anlise dos resultados obtidos no painel, relativamente aos riscos inerentes
computao em nuvem e culminou com a definio das recomendaes visando atender
ao objetivo principal estabelecido para a pesquisa.
Fase 5 Concluses e consideraes finais:
Compreendeu a elaborao das concluses e consideraes finais, luz dos resultados

obtidos durante os trabalhos.
A documentao produzida ao longo de cada uma das fases deste roteiro compe os distintos
captulos nos quais esta monografia est subdividida a partir deste ponto.
13
REVISO DA LITERATURA E CONSIDERAES
Neste captulo so abordados, de incio, os conceitos de computao em nuvem, risco,

segurana e gesto de riscos, temas em torno dos quais est estruturado este estudo. Para cada
um dos temas, so apresentadas as principais definies extradas das referncias
bibliogrficas pesquisadas. Especificamente para a computao em nuvem, so ainda
destacados os benefcios que sua utilizao pode propiciar aos consumidores e as barreiras
que podem inibir sua adoo e descritos os principais modelos de referncia desenvolvidos
at o momento. Relativamente ao risco, so explorados, em adio, alguns modelos de gesto
de riscos e, em particular, os riscos inerentes TI e computao em nuvem.
Complementando o captulo, so feitas consideraes relativas s definies, conceitos e
modelos descritos, enfatizando semelhanas, divergncias, pontos fortes e deficincias e
destacando as definies e modelos mais representativos.
2.1
2.1.1
Computao em Nuvem
Histrico e Definies para Computao em Nuvem
Aymerich et al. (2008) afirmam que a expresso "computao em nuvem" foi empregada pela
primeira vez em 2006 pelo Chief Executive Officer, CEO, do Google, Eric Schmidt, para
referenciar a computao empregando os recursos da Internet. De fato, a literatura, tanto
acadmica quanto no-acadmica, no registra o emprego desta expresso antes de 2006.
Portanto, tenha sido ou no Schmidt o responsvel por cunhar a expresso, a realidade que
ela parece mesmo no ter sido referenciada em perodo anterior.
De todo modo, desde o seu surgimento, diversos autores, organizaes e instituies tm
procurado definir a expresso "computao em nuvem". Smith (2009) oferece um resumo de
definies propostas por organizaes e instituies de renome, definies estas que esto
reproduzidas no Quadro 1.
14
Quadro 1 Definies para "Computao em Nuvem"
Organizao
Definio
Gartner Group
"Estilo de computao no qual recursos de TI, massivamente escalveis, so

disponibilizadas sob a forma de servios, por meio da Internet, para mltiplos
consumidores externos."
Forrester
Research
"Um conjunto de infra-estruturas gerenciadas, abstratas e altamente escalveis, capazes

de hospedar aplicaes de consumidores finais, os quais pagam pelo consumo."
The 451 Group "TI oferecida como servio, disponibilizada por meio de recursos independentes de
localizao fsica."
Wikipedia
"Um estilo de computao no qual recursos dinamicamente escalveis e, em geral,

virtualizados so providos como servios por meio da Internet."
International
"Plataforma que dinamicamente prov, configura, re-configura e libera servidores de
Business
acordo com as necessidades e que emprega grandes data centers e potentes servidores,
Machines, IBM nos quais hospeda aplicaes e servios para serem utilizados via Internet."
University of
California,
Berkeley
"Iluso de recursos infinitos de computao disponveis sob demanda, eliminando

compromissos mais efetivos por parte dos usurios da nuvem e possibilitando o
pagamento pelo uso desses recursos de acordo com as necessidades de curto prazo."
FONTE: Adaptado de SMITH; 2009; p. 66.
Por outro lado, recorrendo ao mundo acadmico, no so muito distintas das acima as
definies propostas em ensaios e pesquisas que abordam este tema. O Quadro 2 congrega
algumas definies deste tipo.
Quadro 2 Definies de Acadmicos para "Computao em Nuvem"
Ano Autor
Definio
2007 Weiss
"O conceito de nuvem lida com muitas tecnologias e arquiteturas j existentes. A

centralizao de recursos de computao no uma novidade, mas um retorno s
razes, assim como no so novidades a computao utilitria, a computao
distribuda e o software como servio. Mas a nuvem inova, ao integrar todos
esses modelos de computao. E esta integrao requer a mudana do centro de
poder, dos processadores para a rede dentro da nuvem, os processadores
tornam-se commodities e a rede que mantm uma nuvem una e conecta nuvens
umas s outras, bem como o cu ao cho."
2009 Armbrust et al.
"Computao em nuvem refere-se tanto s aplicaes disponibilizadas via

Internet sob a forma de servios quanto aos equipamentos e sistemas oferecidos
pelos data centers que os provem; os servios desta natureza tm sido j h
algum tempo denominados SaaS (da sigla em ingls para a expresso "software
as a service") e esta uma denominao que continuaremos a utilizar; j os
equipamentos e o software constituem o que denominaremos nuvem."
2009 Bandyopadhyay " um modelo de servio em TI no qual os servios de computao (tanto de

et al.
hardware quanto de software) so entregues sob demanda a consumidores
conectados a uma rede, sob a forma de auto-servio, independentemente de
equipamentos e localizao. Os recursos requeridos para prover os servios com
nveis de qualidade adequados so compartilhados, dinamicamente escalveis,
rapidamente disponibilizados, virtuais e liberados com uma interao mnima
com o provedor. Os consumidores pagam pelo uso dos servios, sem terem que
15
Quadro 2 Definies de Acadmicos para "Computao em Nuvem" (cont.)
Ano Autor
Definio
2009 Bandyopadhyay incorrer em investimentos iniciais de porte, e os servios em nuvem empregam

et al. (cont.)
sistemas de medio que dividem os recursos computacionais em blocos
apropriados para a cobrana."
2009 Buyya et al.
"Uma nuvem um tipo de sistema paralelo e distribudo, composto por um

conjunto de computadores interconectados e virtualizados, que so
dinamicamente disponibilizados como sendo um ou mais recursos unificados de
computao, baseados em acordos de nvel de servio estabelecidos por meio de
negociao entre o provedor e os consumidores."
2009 Gatewood
"Em geral, nuvens so grandes conjuntos de recursos virtuais de fcil acesso e

utilizao (por exemplo, equipamentos, plataformas de desenvolvimento e/ou
servios); estes recursos podem ser facilmente configurados para satisfazer
distintas demandas, possibilitando ao provedor ajust-los para prover utilizao
otimizada."
2009 Grossman
"Nuvens, ou clusters de computadores distribudos, provem recursos e servios

sob demanda em uma rede, usualmente a Internet, com a escalabilidade e
confiabilidade de um data center."
2009 Kim
"Talvez a definio mais simples para computao em nuvem seja a capacidade

para acessar, via Internet, arquivos, dados, programas e servios de terceiros,
que esto hospedados em um provedor externo e pagar apenas pelos recursos e
servios utilizados."
2009 Qian et al.
"Computao em nuvem um tipo de tcnica computacional na qual servios de

TI so providos por unidades dotadas de recursos massivos de baixo custo,
conectadas por redes de protocolo Internet."
2009 Smith
"Em essncia, computao em nuvem uma forma de alugar computadores,

espao para armazenagem e capacidade de rede, em uma base de preos
horrios, de alguma empresa que j dispe desses recursos em seu prprio data
center e pode disponibiliz-los via Internet."
2009 Veras
"Na verdade, o conceito de computao em nuvem vem se aprimorando ao

longo do tempo, mas essencialmente trata de uma mesma ideia bsica: processar
as aplicaes e armazenar dados fora do ambiente corporativo."
Em adio s definies apresentadas nos Quadros 1 e 2, adequado mencionar a definio

proposta pelo National Institute of Standards and Technology, NIST, entidade federal noregulatria vinculada ao Departamento de Comrcio do Governo dos Estados Unidos e
responsvel por promover a inovao e a competitividade industriais em mbito nacional
naquele pas. Para o NIST (2009, p. 1):
"Computao em nuvem um modelo que viabiliza o acesso oportuno e sob demanda a um pacote
compartilhvel de recursos computacionais configurveis (por exemplo, redes, servidores, reas
para armazenagem, aplicativos e servios) que podem ser rapidamente provisionados e liberados
com um esforo mnimo de gesto ou de interao com o provedor dos servios." 1
____________________________
1
"Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of
configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be
rapidly provisioned and released with minimal management effort or service provider interaction."
16
Vale destacar ainda duas outras definies, pela aderncia que apresentam para com relao
do NIST. A primeira delas a da Cloud Security Alliance, CSA (2009), que abriu mo da sua
definio original para adotar na ntegra a do NIST. A outra a da F5 Networks (2009),
prestadora de servios de TI, que oferece uma definio derivada de um conjunto de outras
obtidas da literatura (entre as quais a do NIST se faz presente com destaque) e fruto de um
focus group realizado com profissionais de TI e com provedores de servios em nuvem; a
definio obtida, que, como se pode verificar, reproduz a do NIST na sua ltima parte, :
"Computao em nuvem um estilo de computao no qual recursos dinamicamente escalveis e
geralmente virtualizados so disponibilizados sob a forma de servios. Os consumidores no
necessitam possuir conhecimento, nem serem especialistas, nem tampouco exercer controle sobre
a infra-estrutura tecnolgica na nuvem. Alm disso, a computao em nuvem emprega um modelo
que viabiliza o acesso oportuno e sob demanda a um pacote compartilhvel de recursos
computacionais configurveis (por exemplo, redes, servidores, reas para armazenagem,
aplicativos e servios) que podem ser rapidamente provisionados e liberados com um esforo
mnimo de gesto ou de interao com o provedor dos servios." 2
Bandyopadhyay et al. (2009) destacam que a computao em nuvem representa a

convergncia de duas das principais tendncias: eficincia em TI e agilidade nos negcios. A
capacidade dos computadores modernos possibilita seu uso de maneira mais eficiente,
empregando recursos altamente escalveis. Para introduzir agilidade nos negcios, a TI pode
ser usada como um instrumento competitivo, viabilizando o desenvolvimento rpido de
aplicaes, o processamento em paralelo, o uso de ferramentas analticas de alto desempenho
e o emprego de aplicativos mveis interativos, que respondem em tempo real aos requisitos
dos usurios.
2.1.2
Semelhanas nas Definies para Computao em Nuvem
Ao todo, no tpico acima foram destacadas 19 definies para computao em nuvem,

nmero este que corresponde soma das seis constantes do Quadro 1, com as dez do Quadro
2 e as trs adicionais oferecidas, respectivamente, pelo NIST, pela CSA e pela F5 Networks.
____________________________
2
"Cloud computing is a style of computing in which dynamically scalable and often virtualized resources are
provided as a service. Users need not have knowledge of, expertise in, or control over the technology
infrastructure in the 'cloud' that supports them. Furthermore, cloud computing employs a model for enabling
available, convenient and on-demand network access to a shared pool of configurable computing resources
(e.g., networks, servers, storage, applications, services) that can be rapidly provisioned and released with
minimal management effort or service provider interaction."
17
No geral, as definies focam a questo dos servios em si, mais do que os aspectos tcnicos
que envolvem a infra-estrutura requerida para que as ofertas de servios se materializem.
Entre boa parte dessas definies, h pontos claros de convergncia, em particular em torno
das questes do compartilhamento de recursos externos, da escalabilidade, flexibilidade e
custo sob demanda.
Pela maneira como foi elaborada, fruto de um focus group realizado com profissionais de TI e
provedores de servios de computao em nuvem, a definio oferecida pelo F5 Networks se
apresenta como uma das mais completas, apesar de um tanto extensa.
Conforme j destacado, a definio do NIST assume um papel quase que de referncia, dada a
importncia deste rgo no meio governamental norte-americano e tambm ao fato de ser
constituda por norte-americanos ou radicados nos Estados Unidos boa parte dos autores e
instituies que tm se ocupado do estudo da computao em nuvem.
2.1.3
Modelos de Referncia para Computao em Nuvem
O NIST (op. cit.) prope um modelo de referncia para a computao em nuvem que
considera a existncia de trs distintas dimenses: (a) caractersticas essenciais, (b) ofertas de
servios e (c) modelos de implementao. Resumidamente, em cada uma dessas dimenses
pode-se destacar os aspectos que esto apresentados no Quadro 3.
Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem

Dimenso/Item Descrio
Caractersticas Essenciais
Auto-servio
sob demanda
Os consumidores podem, unilateralmente, provisionar capacidade computacional,

medida das necessidades e automaticamente, sem que seja requerida interao humana
com os provedores dos servios.
Acesso amplo
rede
Capacidades esto disponveis na rede e so acessadas por meio de mecanismos

padronizados que possibilitam o uso via distintas plataformas de hardware.
Pool de
recursos
Os recursos computacionais dos provedores so agrupados, de modo a servir a

mltiplos consumidores simultaneamente, com distintos recursos fsicos e virtuais
alocados e realocados dinamicamente de acordo com a demanda; h um certo grau de
independncia quanto localizao, fazendo com que os consumidores no decidam
sobre os locais exatos a partir dos quais acessaro os recursos, mas possam especificar
essa localizao em alto nvel (por exemplo, pas, estado ou at mesmo data center).
18
Quadro 3 Modelo de Referncia do NIST para Computao em Nuvem (cont.)
Dimenso/Item Detalhe
Caractersticas Essenciais (cont.)
Rpida
elasticidade
As capacidades podem ser rpida e elasticamente provisionadas, em alguns casos at de

forma automtica, permitindo aumentar e reduzir dinamicamente as quantidades
contratadas; para um consumidor, as capacidades disponveis para provisionamento
apresentam-se como praticamente ilimitadas e podem ser compradas em qualquer
quantidade a qualquer momento.
Servios
mensurveis
Sistemas em nuvem automaticamente controlam e otimizam o uso de seus recursos, por

meio de mecanismos inseridos em nveis apropriados a cada tipo de servio; assim, o
uso dos recursos pode ser controlado e reportado com transparncia.
Ofertas de Servios
Software como Os servios disponibilizados so representados por aplicativos executados numa infraservio (SaaS) estrutura em nuvem e acessados via um browser; os consumidores no gerenciam essa
infra-estrutura, sejam redes, servidores, sistemas operacionais, reas de armazenagem
ou mesmo funcionalidades especficas dos aplicativos, exceto a definio de
determinados parmetros.
Plataforma
como servio
(PaaS)
Os servios disponibilizados possibilitam executar aplicativos desenvolvidos pelos

consumidores ou por estes adquiridos de terceiros, usando linguagens de programao
e ferramentas suportadas pela nuvem; os consumidores no gerenciam essa infraestrutura, sejam redes, servidores, sistemas operacionais ou reas de armazenagem, mas
apenas controlam os aplicativos e podem configurar o ambiente.
Infra-estrutura Os servios disponibilizados so o provisionamento e uso de recursos de infracomo servio estrutura, como capacidade de processamento, reas de armazenagem, redes e outros
(IaaS)
recursos computacionais bsicos, de modo a possibilitar a execuo de aplicativos e
sistemas operacionais; os consumidores no gerenciam essa infra-estrutura, mas
controlam os sistemas operacionais, reas de armazenamento, aplicativos e, em alguns
casos, podem at mesmo configurar componentes (por exemplo, firewalls).
Modelos de Implementao
Nuvem
Privada
A infra-estrutura em nuvem utilizada por uma nica organizao, pode ser gerida por
ela ou por terceiros e pode estar ou no instalada em local prprio dessa organizao.
Nuvem
Comunitria
A infra-estrutura em nuvem compartilhada por vrias organizaes que compem

uma comunidade especfica, pode ser gerida por membros dessa comunidade ou por
terceiros e pode estar ou no instalada em local prprio dessa comunidade.
Nuvem
Pblica
A infra-estrutura em nuvem de propriedade de uma organizao que se prope a

comercializar os recursos e os disponibiliza aos consumidores em geral.
Nuvem
Hbrida
A infra-estrutura em nuvem uma combinao de dois ou dos trs modelos acima, os

quais continuam a existir isoladamente, mas so integrados por meio de tecnologia
proprietria ou aberta, que viabiliza a portabilidade de dados e aplicativos.
FONTE: Adaptado de NIST; 2009; p. 1-2.
A CSA (op. cit.) complementa o modelo de referncia do NIST, oferecendo uma

representao grfica do mesmo (reproduzida na Figura 3) e, em adio, defende a incluso
de mais uma caracterstica essencial no modelo, qual seja, a multi-tenancy, que ela considera
indispensvel para os aplicativos operados em nuvens. Multi-tenancy a capacidade que os
aplicativos modernos tm de, a partir de uma nica instncia em execuo, processar
independentemente dados de distintos usurios.
19
Figura 3 Representao Grfica do Modelo do NIST para Computao em Nuvem
Caractersticas Essenciais
Acesso Amplo
Rede
Rpida
Elasticidade
Servios
Mensurveis
Auto-Servio
Sob Demanda
Agrupamento de Recursos
Ofertas de Servios
Software como
Servio (SaaS)
Plataforma como
Servio (PaaS)
Infra-estrutura como
Servio (IaaS)
Modelos de Implementao
Nuvem
Pblica
Nuvem
Privada
Nuvem
Hbrida
Nuvem
Comunitria
FONTE: Adaptado de CSA; 2009; p. 14.
Aymerich et al. (op. cit.), por seu turno, endossam as trs dimenses propostas pelo NIST e
consideram ainda a existncia de um tipo adicional de oferta de servios no modelo que
propem, tipo este que denominam "database as a service" e identificam pela sigla DaaS.
J Jensen et al. (2009) utilizam a taxonomia da dimenso ofertas de servios do NIST para
propor uma arquitetura mais simplificada para a computao em nuvem, baseada naquela
dimenso e na viso das tecnologias empregadas para viabilizar o acesso s ofertas, conforme
mostra a Figura 4. As tecnologias de acesso consideradas neste caso compreendem os web
browsers e os web services e sua interao com as ofertas se d da seguinte forma:
Web browsers suportam integralmente as ofertas de SaaS e uma parcela das de PaaS;
Web services entram na composio das ofertas de IaaS e de parte das de PaaS.
Figura 4 Ofertas de Servios em Nuvens vs. Tecnologias de Acesso
Software como Servio (SaaS)
Web Browsers
Plataforma como Servio (PaaS)

Web Services
Infra-estrutura como Servio (IaaS)
Tecnologias de Acesso
FONTE: Adaptado de JENSEN et al., 2009; p. 109.
20
O Jericho Forum (2009), grupo de estudos vinculado a The Open Group, prope um modelo
estruturado a partir de quatro dimenses, ao qual denomina "cubo da nuvem" e que est
graficamente apresentado na Figura 5; as dimenses consideradas dizem respeito a:
Localizao dos dados: interna ou externamente organizao qual pertencem;
Natureza dos recursos computacionais da nuvem: proprietrios ou abertos;
Arquitetura do ambiente: limitada a um permetro ou ilimitada;
Propriedade dos recursos alocados nuvem: de terceiros ou da organizao que se utiliza

da nuvem.
Figura 5 Representao Grfica do Cubo da Nuvem
Outsourced
Insourced
Externa
Interna
Ilimitada
Limitada
Proprietria
Aberta
FONTE: Adaptado de JERICHO FORUM, 2009; p. 3.
2.1.4
Semelhanas, Divergncias, Pontos Fortes e Deficincias dos Modelos de

Referncia para Computao em Nuvem
A reviso da literatura conduziu identificao de diversos modelos de referncia para

computao em nuvem, dentre os quais cinco deles foram selecionados e esto apresentados
no tpico acima.
O modelo proposto pelo NIST , de longe, o mais referenciado na literatura, inclusive por
alguns autores e entidades que no o declaram explicitamente, mas utilizam sua
nomenclatura, em especial a que denomina as ofertas de servios.
Dentre os demais modelos apresentados, os propostos pela CSA e por Aimerych et al.
baseiam-se no do NIST, ao qual agregam extenses de pequena monta. O modelo de Jensen et
21
al. abrange apenas uma das trs dimenses introduzidas pelo NIST. O modelo do Jericho
Forum, apesar de ser mais elaborado, mais complexo e no acrescenta informaes
relevantes em grau proporcional ao aumento da complexidade.
2.1.5
Benefcios Potenciais Associados Computao em Nuvem
Para Bandyopadhyay et al. (op. cit.), a computao em nuvem oferece um elenco significativo
de benefcios-chave aos seus consumidores, a saber:
Reduo de custo:
O custo de uso para as pequenas empresas sensivelmente reduzido, habilitando-as a se

beneficiar do uso de recursos computacionais antes apenas acessveis a empresas de
maior porte;
Da mesma forma, pode-se deduzir que essa possibilidade de acesso se d em nvel de

pas, permitindo, dessa forma, a pases em desenvolvimento queimar etapas no processo
de informatizao da sociedade.
Reduo de investimento inicial:
O acesso a recursos computacionais se d sem a necessidade de investimentos iniciais de

monta, o que faz com que sua efetiva utilizao se d em um perodo de tempo menor;
Como os gastos se do sob a forma de custo operacional, ao invs de inverso em ativos,

este fato tambm contribui para a diminuio dos valores a serem investidos
antecipadamente;
Em adio, na medida em que mais consumidores aderem aos servios oferecidos por
um determinado provedor, este tem condio de, face economia de escala que pode
obter, promover redues de preo que venham a favorecer todo o seu elenco de
consumidores.
Reduo de barreiras:
A computao em nuvem tem potencial para reduzir as barreiras que a TI, em geral,
impe inovao, o que visivelmente demonstrado observando-se as inmeras novas
empresas que tm surgido, servindo-se de recursos computacionais em nuvem e que, em
pouco tempo de atuao, so excepcionalmente bem sucedidas; nesta situao, podem
ser citadas como exemplo YouTube, Facebook, TripIt e Mint.
22
Facilidade para escalar:
A computao em nuvem torna fcil para as empresas escalar seus servios de acordo
com a demanda de seus clientes; uma vez que os recursos computacionais so
manuseados via software, eles podem ser disponibilizados rapidamente medida que
novos equipamentos so adicionados rede;
Na realidade, o objetivo da computao em nuvem possibilitar que os recursos sejam

escalados dinamicamente, para mais ou para menos, por meio de software, dependendo
da carga dos clientes, com a mnima interao possvel com os provedores.
Inovao:
A computao em nuvem torna possveis novas classes de aplicaes e disponibiliza

servios no possveis anteriormente.
Kim (op. cit.) tambm explora a questo dos benefcios e afirma que a computao em nuvem
oferece quatro importantes deles aos seus consumidores:
Reduo de investimento e custeio:
Os provedores so os proprietrios e gerenciam todos os recursos computacionais,

cabendo aos consumidores unicamente conectarem-se s nuvens;
Neste contexto, os consumidores no necessitam aportar recursos de monta para dar

incio sua operao de TI, nem tampouco prover espao fsico para instalaes ou arcar
com custos de consumo de eletricidade, manuteno de facilidades e remunerao de
pessoal especializado.
Escalabilidade dinmica:
Os consumidores podem aumentar ou reduzir o nvel de utilizao de recursos

computacionais de modo fcil e com flexibilidade.
Menor preo relativo:
Em geral, o custo dos servios na computao em nuvem so inferiores aos dispndios

demandados por uma operao prpria, pois os consumidores pagam apenas pelos
recursos efetivamente utilizados, sem a necessidade de manter uma parcela de
capacidade ociosa para fazer frente a situaes de pico.
Facilidade de acesso:
Pode-se acessar as nuvens e demandar servios a qualquer momento e de qualquer lugar.
23
Smith (op. cit.) outro autor que tambm relaciona um conjunto de benefcios que podem ser
propiciados pela computao em nuvem aos seus consumidores:
Escalabilidade dinmica:
Os consumidores podem provisionar recursos computacionais na medida em que se

fazem necessrios; portanto, se as demandas dos seus usurios crescem ou diminuem, os
recursos necessrios para atend-las podem ser adicionados ou subtrados de pronto, em
muitos casos at mesmo sem a necessidade de interveno do provedor.
Inverses com fundos operacionais:
Os recursos computacionais disponibilizados nas nuvens podem ser adquiridos com

fundos destinados a despesas operacionais ou de custeio, ao invs de com inverses de
capital;
Muitas reas de TI enfrentam longos processos de aprovao para inverses de capital,

porm a aprovao de oramentos operacionais, via de regra, mais simples e menos
demorada.
Disponibilizao imediata de recursos:
A computao em nuvem possibilita o provisionamento e a aquisio de recursos em

tempo real, para utilizao imediata;
Em termos prticos, significa que no h demora significativa para que os recursos se

tornem utilizveis.
Menor mobilizao de recursos de pessoal e infra-estrutura:
Como os equipamentos no necessitam ser instalados nas dependncias das empresas

usurias, no so requeridas atualizaes em sistemas eltricos, alocao de espao
fsico, modificaes em sistemas de refrigerao e outras assemelhadas;
Tambm diminui a demanda por ampliao do quadro de pessoal alocado TI, quer
sejam profissionais contratados quer sejam terceiros.
Ganhos decorrentes da competio:
Sempre possvel encontrar um provedor alternativo para um dado servio; portanto, se

um determinado provedor no est desempenhando a contento e/ou seus preos se
tornam caros em demasia, os servios envolvidos podem ser transferidos para outro
provedor.
24
Qian et al. (op. cit.) citam trs benefcios que podem ser obtidos com a computao em
nuvem e os apresentam resumidamente:
Satisfao de requisitos de negcio sob demanda, por meio do redimensionamento

dinmico dos recursos de computao demandados em funo de alteraes nestes
requisitos;
Reduo de custo e economia de energia, face ao emprego de microcomputadores de baixo

preo e baixo consumo de energia e da virtualizao de servidores;
Aumento da eficincia na gesto de recursos, por meio da programao dinmica dos

recursos envolvidos.
Comparando estas listas de benefcios oferecidas por quatro diferentes autores, verifica-se
que, dos 17 benefcios citados no total, alguns deles o esto de forma repetida a
escalabilidade citada pelos quatro autores, a reduo de custos por trs deles e a reduo de
investimentos iniciais e a inverso com fundos operacionais por dois deles. A facilidade de
acesso s nuvens, conforme descrita por Kim (op. cit.), equivalente, por sua vez,
disponibilizao de recursos mencionada por Smith (op. cit.). Dessa forma, pode-se afirmar
que se est diante de um elenco de apenas nove benefcios potenciais efetivamente distintos,
os quais esto relacionados e descritos no Quadro 4.
Quadro 4 Benefcios Potenciais Associados Computao em Nuvem
Benefcio
Descrio
Reduo de custo
A computao em nuvem possibilita a reduo dos custos globais com TI,

em particular devido ao fato de o custo dos servios serem inferiores aos
dispndios demandados por uma operao prpria
Reduo do investimento
inicial
A adoo da computao em nuvem leva reduo do investimento inicial

em TI, tendo em vista que os recursos so de propriedade de terceiros
Escalabilidade
A computao em nuvem possibilita que os recursos de TI necessrios sejam

escalados dinamicamente, proporcionando flexibilidade
Acesso a inovaes
A computao em nuvem contribui para a reduo de barreiras inovao e

torna vivel utilizar novos tipos de aplicativos e servios no possveis em
outras condies
Inverses com fundos

operacionais
Os recursos disponibilizados nas nuvens podem ser adquiridos com fundos

destinados a despesas operacionais, ao invs de com inverses de capital
Disponibilidade imediata
de recursos
A computao em nuvem possibilita o provisionamento e a aquisio de

recursos em tempo real, de qualquer lugar e para utilizao imediata,
conferindo maior disponibilidade a esses recursos e viabilizando, dessa
forma, a implantao mais rpida de servios
25
Quadro 4 Benefcios Potenciais Associados Computao em Nuvem (cont.)
Benefcio
Descrio
Menor mobilizao de
recursos destinados a TI
A computao em nuvem propicia menor mobilizao de recursos de pessoal

e infra-estrutura para TI
Ganhos decorrentes da
competio
Se um determinado provedor passa a no desempenhar a contento e/ou seus

preos se elevam em demasia, os servios envolvidos podem ser transferidos
para outro provedor
Gesto de recursos
A computao em nuvem propicia maior eficincia na gesto dos recursos de

TI, por meio da sua programao dinmica
2.1.6
Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem
As referncias bibliogrficas consultadas do pouco destaque questo das barreiras que

podem servir de impedimento contratao de servios em ambientes de computao em
nuvem.
Miller (2008) um dos poucos autores que relaciona uma lista de barreiras potenciais que
podem inibir a migrao de consumidores para estes ambientes. As barreiras por ele citadas e
que podem ser atribudas atuao dos fornecedores de servios por meio de nuvens no
privadas so:
Falta de capacidade tcnica:
Implementar um ambiente de computao em nuvem , por si s, um enorme desafio

tcnico;
Centenas ou milhares de computadores e servidores devem ser adquiridos, instalados

com algum grau de interao e ter sua utilizao gerenciada; alm disso, solues
complexas de software tm que ser desenvolvidas e disponibilizadas em regime 24x7;
Tudo isto requer um volume significativo de recursos e no qualquer empresa que

consegue viabiliz-los adequadamente.
Deficincia do modelo de negcio:
Dados os volumes de investimento necessrios para implementar um ambiente de

computao em nuvem, os meios para recuperar o capital investido e gerar lucros tornam
estas operaes verdadeiros desafios para os interessados em prestar este tipo de
servios;
A eventual incapacidade para prosperar e prosseguir na atividade um fator que pode

inibir a disposio dos consumidores em aderir a este modelo de negcio.
26
Falhas de segurana:
Esta questo diz respeito aos dados mantidos pelas aplicaes executadas em nuvens;
So tantos os casos de violao de segurana em ambientes com menor grau de

vulnerabilidade, que os consumidores questionam se, de fato, os fornecedores tm
condies de garantir a segurana nas nuvens.
Tradio comportamental:
Muitos consumidores no confiam em algo que no podem ver ou tocar, pois isto lhes
trs tona uma sensao de perda; o que ocorre quando seus acervos de informao
tm a perspectiva de serem transferidos para ambientes de nuvem e passarem a ser
armazenados em locais distantes ou mesmo desconhecidos;
Uma mudana de atitude para com relao a esta sensao exige novo posicionamento
por parte dos consumidores e representa um novo paradigma, difcil de ser aceito.
Marks e Lozano (2010) tambm exploram a questo das barreiras adoo da computao em
nuvem e destacam o que se faz necessrio, por parte de um determinado fornecedor, para
buscar satisfazer aos consumidores:
Segurana e privacidade:
A segurana e a privacidade so quesitos mandatrios nos ambientes de computao em

nuvem e a perspectiva de poder se defrontar com falhas de segurana e/ou violao da
privacidade tm levado os consumidores a questionar a adoo desses ambientes, em
particular no que se refere a servios afetos a aspectos de importncia crtica para seus
negcios.
Governana, acordos de nvel de servio e qualidade:
Estes quesitos compem um importante nicho de obstculos potenciais;
Os consumidores receiam que os fornecedores, dados a complexidade, ineditismo e

consequente pouco tempo de maturao destes temas, no estejam preparados para tratlos de forma satisfatria e que isto possa provocar dificuldades no relacionamento.
Confiabilidade:
Os consumidores esperam que os ambientes de computao em nuvem sejam confiveis

e que a disponibilidade dos servios e recursos oferecidos nas nuvens atenda na ntegra
s suas necessidades, em especial quelas relacionadas a aspectos crticos dos negcios;
27
A computao em nuvem depende, fundamentalmente, de confiabilidade e, se os

consumidores sentem que no podem t-la na plenitude, relutam em aderir a este modelo
de servios.
Comparando estas duas listas de barreiras, verifica-se que, das sete citadas no total, as duas
primeiras mencionadas por Marks e Lozano (op. cit.) admitem desdobramentos em quesitos
independentes: a primeira, segregando a segurana da privacidade e, a outra, separando
governana, acordos de nvel de servio e qualidade. Alm disso, o quesito segurana est
citado de forma repetida por ambos os autores. Em assim sendo, pode-se afirmar que se est
diante de um total de nove barreiras efetivamente distintas, as quais esto relacionadas e
descritas no Quadro 5.
Quadro 5 Barreiras Potenciais Inibidoras da Adoo da Computao em Nuvem
Barreira
Descrio
Falta de capacidade
tcnica
Os ambientes de computao em nuvem tm um alto grau de complexidade, o que

exige um grau tambm elevado de capacidade tcnica para sua estruturao e
operao, o que leva os consumidores a questionar se os provedores esto, de fato,
preparados para tal desafio
Deficincia do
modelo de negcio
O modelo de negcio da computao em nuvem, por exigir investimentos iniciais

elevados, demanda grande competncia de gesto para garantir rentabilidade e
retorno sobre o capital investido, o que gera desconfianas, da parte dos
consumidores, quanto capacidade dos provedores em ser bem sucedidos
Falhas de segurana
A perspectiva de poder se defrontar com falhas de segurana que comprometam

suas operaes uma questo crtica para os consumidores e tem contribudo para
lev-los a questionar contratao de servios em ambientes de nuvem
Privacidade
A perspectiva de poder se defrontar com violao da sua privacidade outra

questo crtica para os consumidores e tambm tem contribudo para lev-los a
questionar a adoo da computao em nuvem
Tradio
comportamental
Os consumidores mostram-se desconfiados perante o fato de no saberem onde e

de que forma seus acervos de informao esto sendo guardados e manipulados
Governana
A potencial falta de maturidade do modelo de governana uma questo que tem

preocupado os consumidores, que no se sentem confortveis quanto capacidade
dos provedores em gerir satisfatoriamente ambientes complexos como os de
computao em nuvem
Acordos de nvel de
servio
A pouca experincia dos provedores na prestao de servios em ambientes de

nuvem levanta dvidas quanto sua capacidade para honrar os acordos de nvel de
servio, os quais poderiam tender a ser simples tpicos contratuais sem valor
prtico
Qualidade
A complexidade dos ambientes de nuvem um fator que pode limitar o nvel de

qualidade dos servios prestados
Confiabilidade
A computao em nuvem depende de confiabilidade e, se os consumidores sentem

que no podem t-la na plenitude, relutam em aderir a este modelo de servios
28
2.2
Risco e Gesto de Riscos
Este tpico trata do risco em trs nveis distintos: (a) o risco de uma forma geral, amplo e sem
especificidades, (b) o risco associado TI e (c) o risco associado especificamente utilizao
da TI em ambientes de computao em nuvem. So abordados os conceitos de risco e de
gesto de riscos, as caractersticas particulares do risco em cada um dos trs nveis e
sistemticas para gesto de riscos.
2.2.1
Definies para Risco
Uma definio que retrata de forma adequada o entendimento sobre risco existente ao final do
sculo passado a proposta por Ewald (1991, p. 199), para quem: "[...] 'risco' entendido
como sinnimo de ameaa ou perigo, em face de algum evento desfavorvel que possa afetar
algum; designa uma ameaa efetiva". 3
Neste contexto, o risco est tambm associado segurana. Para ilustrar esta associao,
Bitsch (2001, p. 179) recorre norma alem relativa segurana (DIN-VDE-31000) e oferece
um diagrama explicativo (vide Figura 6) da denominada "situao de segurana", por ele
definida como: "[...] uma situao na qual o risco [efetivo] menor do que o risco mximo
aceitvel". 4
Figura 6 Diagrama Explicativo das Situaes de Segurana e Perigo
Segurana
Perigo
Baixo Risco
Alto Risco
Risco
Risco Mximo
Aceitvel
FONTE: Adaptado de BITSCH, 2001; p. 179.
____________________________
3
"[...] 'risk' is understood as a synonym for danger or peril, for some unhappy event which may happen to
someone; it designates an objective threat."
4
"[...] a situation in which the risk is lower than the maximum acceptable risk".
29
Conforme mostra a figura, caso o risco efetivo se situe acima de um limite estabelecido como
mximo, a situao deixa de ser de segurana para se tornar de perigo ou passvel da
ocorrncia de acidentes.
Segurana pode ser definida como uma situao de ausncia de acidentes, onde, por acidente,
entende-se um evento que implica numa perda no planejada e inaceitvel. A segurana,
diferentemente da confiabilidade, uma propriedade de um todo, no de uma parte ou
componente desse todo. Por exemplo, no possvel determinar se uma usina nuclear tem
segurana aceitvel examinando apenas uma de suas vlvulas; quaisquer consideraes acerca
da segurana dessa vlvula, sem a informao relativa ao contexto em que ela utilizada, no
tem significado efetivo. Na realidade, pode-se at concluir sobre a confiabilidade da vlvula,
mas a segurana somente pode ser determinada analisando o relacionamento entre ela e os
demais componentes e partes da usina, ou seja, no contexto do todo (LEVESON, 2011).
Dependendo da particular situao ou contexto, a definio de segurana pode variar
significativamente. Por exemplo, o United States Department of Defense (2000, p. 2) define
uma situao de segurana de uma forma mais ampla, por meio da seguinte frase: "Livre de
condies que podem causar morte, ferimento, doena ocupacional, dano ou perda de
equipamento ou propriedade, ou dano ao ambiente." 5
Do mesmo modo que na presena de acidentes no possvel haver segurana, esta tambm
no existe naturalmente em situaes de incerteza. Na incerteza, a segurana necessita ser
produzida, o que pode ser conseguido por meio da gesto de riscos (WENGER et al., 2008).
O conceito de risco evoluiu ao longo das ltimas duas dcadas e seu foco ampliou-se, para
passar a considerar no apenas a questo das ameaas, mas tambm os benefcios potenciais.
Em sua publicao mais recente sobre este tema, a International Organization for
Standardization, ISO, (2009, p. 1) coloca que: "Risco o efeito da incerteza sobre os
objetivos." 6
____________________________
5
"Freedom from those conditions that cause death, injury, occupational illness, damage to or loss of equipment
or property, or damage to the environment."
6
"Risk: effect of uncertainty on objectives."
30
A ISO explicita que o efeito deve ser entendido como um desvio positivo ou negativo (grifo
nosso) para com relao a uma situao esperada e a incerteza, por sua vez, apresentada
como um estado de insuficincia de informaes relativas ao entendimento ou conhecimento
de um evento, suas consequncias e probabilidade de ocorrncia.
Ainda no que diz respeito incerteza, o Committee of Sponsoring Organizations of the
Treadway Commission, COSO, explora esta questo sinalizando que todas as organizaes,
em algum momento, acabam por enfrentar incertezas e que o desafio que a elas se coloca
determinar qual o grau de incerteza que esto dispostas a aceitar, de modo a no prejudicar o
objetivo de adicionar valor aos stakeholders. A incerteza, em si, no prejudicial, dado que
pode trazer no seu bojo tanto riscos quanto oportunidades, o que, potencialmente, pode
implicar no somente em eroso, mas em aumento do valor (COSO, 2004).
Wenger et al. (op. cit., p. 5) tambm abordam a questo e colocam que:
"Riscos so indiretos, no premeditados, incertos e, por definio, localizados no futuro, uma vez
que apenas se materializam quando se manifestam como eventos efetivos; em outras palavras: a
essncia do risco no estar acontecendo, mas poder acontecer." 7
Habegger (2008) sustenta que a eliminao dos riscos por completo no vivel, nem
tampouco desejvel, devido a, pelo menos, trs motivos: (a) no h meios para as pessoas
controlarem o futuro, (b) os recursos disponveis para lidar com riscos so sempre limitados e
(c) aceitar riscos est no ncleo do processo de inovao e uma condio mandatria para o
crescimento econmico e o progresso social.
2.2.2
Definies e Roteiros para Gesto de Riscos
O desafio de direcionar, com prudncia e sucesso, o curso dos riscos por entre oportunidades
e ameaas acabou por motivar a instituio da gesto de riscos, disciplina cujo objetivo
encontrar caminhos e abordagens que permitam detectar riscos em tempo hbil, avaliar
ameaas futuras adequadamente e estruturar e implementar aes bem sucedidas de mitigao
(Ibid.).
____________________________
7
"Risks are indirect, unintended, uncertain, and are by definition situated in the future, since they only
materialize when they are manifested as real events. In other words: the essence of risk is not that it is
happening, but that it might happen."
31
De uma maneira mais genrica, a ISO (op. cit., p. 2) coloca que: "Gesto de riscos [ o
conjunto de] atividades estruturadas que visam direcionar e controlar [as aes de] uma
organizao no que se refere ao risco." 8
A gesto de riscos deve: (a) fazer parte integral do escopo da gesto, (b) estar integrada
cultura e s prticas e (c) ser adaptada aos processos de negcio (Ibid.).
Crouhy et al. (2006) argumentam que a gesto de riscos diz respeito a como as organizaes
selecionam o tipo e o grau dos riscos que so apropriados ao seu perfil e que se dispem a
assumir. Para Wenger et al. (op. cit.), a implementao de uma gesto de riscos efetiva requer
um perfeito entendimento das caractersticas e da dinmica dos riscos e das vulnerabilidades
do ambiente.
Na viso de Kliem (2000), a gesto de riscos composta por trs etapas: identificao, anlise
e controle. Para Habegger (op. cit.), tambm so trs as etapas da gesto de riscos, porm com
denominao diferente: identificao, mensurao e mitigao; apesar da diferena de
nomenclatura, a essncia das etapas deste roteiro praticamente a mesma que a do de Kliem
(op. cit.).
Raz e Hillson (2005) so outros autores a sugerir um roteiro para gerir riscos, este composto
por quatro etapas: planejamento, identificao, anlise e tratamento. A novidade desta
proposta a primeira etapa, dado que as trs ltimas, em termos de contedo, so semelhantes
s dos dois roteiros acima apresentados.
J Crouhy et al. (op. cit.) propem um roteiro mais elaborado para a gesto de riscos,
envolvendo um nmero maior de etapas, porm pouco diferindo em termos de conceitos e
produtos. A Figura 7 apresenta uma representao grfica deste roteiro, que compreende sete
etapas e aborda explicitamente a questo da estratgia frente ao risco.
____________________________
8
"Risk management: coordinated activities to direct and control an organization with regard to risk."
32
Figura 7 Roteiro para Gesto de Riscos
Medir e Estimar
Exposio ao Risco
Avaliar Efeitos
da Exposio
Elaborar
Estratgia
para Riscos:
Prevenir
Transferir
Mitigar
Manter
Identificar
Exposio ao Risco
Identificar
Instrumentos para
Modificar ou
Tratar o Risco
Avaliar
Desempenho
Avaliar Custos e
Benefcios dos
Instrumentos
FONTE: Adaptado de CROUHY et al., 2006; p. 2.
A ISO (op. cit.) prope um roteiro bastante mais completo para a gesto de riscos,
compreendendo no apenas o processo de gesto em si, mas tambm seu entorno, isto , a
maneira pela qual este processo deve ser construdo e inserido no contexto da organizao.
Uma viso esquemtica do modelo da ISO est apresentada na Figura 8.
Figura 8 Modelo Ampliado para Gesto de Riscos
Autorizar e
Compromissar
Estabelecer o Contexto
Identificar os Riscos
Introduzir
Melhorias
Contnuas no
Esquema
Comunicar
Desenhar
Esquema para
Gerir Riscos
Implementar
Gesto de
Riscos
Analisar os Riscos
Monitorar e Revisar
Avaliar os Riscos
Medir os Riscos
Monitorar
e Revisar
Esquema
Tratar os Riscos
Esquema para Gesto de Riscos
Processo de Gesto de Riscos
FONTE: Adaptado de ISO, 2009; p. vii.
Para fins de explorao das etapas da gesto de riscos em maior grau de detalhe, escolheu-se,
dentre os cinco roteiros apresentados neste tpico, aquele proposto por Habegger (op. cit.),
entendendo, primeiramente, no ser necessrio recorrer a um roteiro mais sofisticado para
33
ilustrar o tema e, em segundo lugar, por ele ser, dentre os dois mais simples, o melhor
explicado por seu autor. Este esquema compreende:
Etapa 1 Identificar os riscos:
O aspecto crtico nesta etapa a disponibilidade de informaes; obter e processar

informaes so condies mandatrias para o descobrimento de problemas;
O acmulo de informaes gera evidncias mais estruturadas e explcitas acerca de

eventuais mudanas no ambiente e o desafio ampliar o escopo das fontes disponveis,
acess-las oportunamente e utilizar as informaes obtidas da maneira mais criativa
possvel;
A evoluo da TI um elemento facilitador deste processo, medida que as informaes

se tornam mais disponveis e facilmente acessveis; porm, no se deve deixar de
considerar o lado negativo desta questo, pois uma maior quantidade de informaes
torna mais difcil a filtragem e seleo daquelas que so, de fato, relevantes.
Etapa 2 Mensurar os riscos:
Esta etapa compreende trs atividades: estruturao, avaliao e priorizao dos riscos;
estas atividades ocorrem em ciclos, no bojo de um processo que visa facilitar a obteno
de consenso entre os diversos envolvidos;
A estruturao dos riscos busca aportar uma ordem ao universo dos riscos identificados,
introduzindo categorias nas quais estes possam ser classificados e possibilitando aos
analistas de risco subdividi-los da maneira mais conveniente;
A avaliao dos riscos visa explicitar a importncia relativa entre as distintas categorias
nas quais os riscos foram dispostos; muito embora deva refletir vises objetivas no que
diz respeito a aspectos tais como comportamento, evoluo, potencial de dano e
probabilidade de ocorrncia dos riscos, esta atividade nem sempre realizada com a
adequada excluso de fatores subjetivos;
A priorizao dos riscos objetiva destacar aqueles que devem merecer maior grau de
ateno, em decorrncia da sua magnitude potencial e dado que os recursos destinados
mitigao, via de regra, no so suficientes, por questes de ordem prtica de benefcios
versus custo, para permitir que todos os riscos sejam evitados.
Etapa 3 Mitigar os riscos:
Uma vez tido sido identificados, estruturados, avaliados e priorizados, os riscos

considerados mais significativos devem ser objeto de aes de mitigao;
34
Estas aes enquadram-se em duas distintas estratgias: preventiva e corretiva; a

estratgia preventiva visa evitar a ocorrncia de eventos adversos e, com isso, eliminar
as causas de particulares riscos; a estratgia corretiva destina-se a minimizar os efeitos
da ocorrncia de eventos que geram exposio a riscos; evidentemente, estas duas
estratgias so complementares e devem ser estabelecidas em conjunto;
Em termos prticos, pode-se considerar que impossvel eliminar por completo um

determinado risco, por conta da necessidade de se dispor tanto de um controle absoluto
da situao quanto de recursos muito acima de limites razoveis, que tenderiam a
desequilibrar a relao benefcio/custo;
Adicionalmente, importante considerar que aos riscos tambm se associam

oportunidades, o que faz com que possa no ser de todo conveniente elimin-los por
completo, pois essas oportunidades potenciais deixariam de ser aproveitveis; portanto,
no mundo real, o objetivo das aes de mitigao no deve ser eliminar por completo
todos os riscos, mas procurar mant-los num patamar adequado;
Por fim, no deve ser descartada a possibilidade de, no rol das aes de mitigao, serem
includos instrumentos para transferir riscos a terceiros, quando esta possibilidade se
fizer factvel.
O processo acima apresentado trata de uma abordagem genrica para gesto de riscos e deve
ser adaptado a cada situao e realidade especficas para poder ser adequadamente aplicado
(Ibid.).
Mais recentemente, passou-se a considerar a gesto de risco tambm em nvel corporativo ou
empresarial, o que levou instituio da disciplina de mesmo nome. Nesta linha, por
exemplo, o COSO (op. cit., p. 2), define a gesto empresarial de riscos como:
"[...] um processo, conduzido pelo corpo de diretores, gerentes e outros profissionais de uma
organizao, aplicado com vistas a estabelecer uma estratgia ampla, destinada a identificar
potenciais eventos que possam afetar a organizao e gerenciar riscos que se enquadrem no seu
perfil, no sentido de prover um grau razovel de garantia quanto ao alcance dos objetivos
organizacionais." 9
____________________________
9
"[...] a process, effected by an entitys board of directors, management and other personnel, applied in strategy
setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk
to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives."
35
A gesto empresarial de riscos permite aos gestores de uma organizao lidar de forma efetiva
com as incertezas e com os riscos e oportunidades a elas associados, ampliando a capacidade
de se criar valor para a organizao (Ibid.).
2.2.3
Riscos Inerentes TI e Gesto de Riscos em TI
Risco da TI a possibilidade de que algum evento imprevisto, que envolva falha ou mau uso
da TI, ameace um objetivo empresarial. Na realidade atual, este tipo de riscos j no se limita
rea de TI ou ao data center (WESTERMAN e HUNTER, 2007).
Para estes autores (ibid.), a maioria dos riscos da TI no decorre de problemas tcnicos ou
gerados por funcionrios de baixo escalo, mas sim de falhas de superviso e da governana
de TI; ou seja, a maior parte destes riscos no resulta da tecnologia em si, mas de processos
decisrios que, de modo consciente ou no, ignoram as possveis consequncias destes riscos
para os negcios. Assim, as causas que levam aos riscos da TI so:
Governana de TI ineficaz:
Decorre da ausncia de estruturas e processos apropriados para um amplo envolvimento

de todas as reas de uma organizao nos investimentos e nas decises relativos TI;
Acaba por levar a decises otimizadas localmente, mas que geram riscos empresariais;
sem o envolvimento das reas de negcios, os gestores da TI podem fazer
pressuposies incorretas a respeito de quais riscos impactam mais os negcios.
Complexidade descontrolada:
A complexidade por si s no necessariamente mais arriscada do que a simplicidade;

entretanto, a complexidade sem uma engenharia slida a sustent-la aumenta o risco de
diversas maneiras, pois os ambientes tendem a ser frgeis.
Falta de ateno ao risco:
A falta de ateno aumenta os riscos operacionais; seus sintomas podem incluir: (a) falta
de conhecimento ou conhecimento inadequado, (b) m gesto da infra-estrutura, (c)
ignorncia, negligncia ou deslealdade dos funcionrios e (d) mecanismos de controle
insensveis a atividades perigosas.
Como uma forma de lidar com os riscos da TI, estes autores (ibid.) introduzem dois conceitos:
o "Esquema 4A" e as "Disciplinas Focais de Gesto dos Riscos da TI".
36
O "Esquema 4A" 10 compreende um elenco de quatro fatores de risco associados, um a um, a

quatro objetivos de negcios da TI relacionados aos riscos disponibilidade, acesso, preciso
e agilidade, objetivos estes que podem ser assim descritos (Ibid.):
Disponibilidade:
Manter os sistemas e os processos de negcio por eles suportados em operao e

recuper-los em caso de interrupes.
Acesso:
Assegurar o acesso adequado a dados e sistemas, de modo que as pessoas certas o

tenham quando necessrio e as pessoas erradas, no.
Preciso:
Prover informaes corretas, oportunas e completas, que satisfaam aos requisitos da

administrao, dos funcionrios, clientes, fornecedores e rgos reguladores.
Agilidade:
Possuir a capacidade de mudar com custos controlados e rapidez.
Os autores (ibid.) afirmam que os fatores de risco por eles apresentados formam uma
hierarquia, qual denominam "pirmide dos riscos da TI" e que est graficamente
representada na Figura 9.
Figura 9 Pirmide dos Riscos da TI
Relaes ruins entre negcios e TIC
Mau cumprimento de projetos
Agilidade
Aplicaes no atendem aos requisitos de negcio

Necessidade de integrao manual de dados
Implementaes significativas em progresso ou recm-concludas
Dados no compartimentados
Aplicaes requerem padronizao
Falta de controle interno nas aplicaes

Rede no confivel
Alta rotatividade do pessoal de TIC

Infra-estrutura no padronizada
Gesto ineficaz de atualizaes
Tecnologia antiga
Backup e recuperao ruins

Processos e aplicativos mal entendidos
Falta de habilidades para novas iniciativas
Deficincias sob a tica dos reguladores
Preciso
Acesso
Disponibilidade
FONTE: Adaptado de WESTERMAN e HUNTER, 2007; p. 59.
____________________________
10
Nota: a denominao "4A" decorre do fato de os fatores, no original em ingls, serem: availability, access,
accuracy e agility.
37
A disposio dos fatores na pirmide demonstra que o fator posicionado numa determinada
camada influencia no apenas os riscos associados a ela, mas tambm aqueles associados s
camadas superiores.
O segundo conceito, as "Disciplinas Focais de Gesto dos Riscos da TI", compreende trs
tpicos: (a) alicerce de TI, (b) governana dos riscos da TI e (c) cultura de conscincia dos
riscos da TI, os quais podem ser assim delimitados (Ibid.):
Alicerce de TI:
Um alicerce de TI o conjunto de ativos, procedimentos e pessoal de TI que sustentam

os processos de negcio e a tomada de decises;
Um alicerce de TI slido bem compreendido, bem administrado e no mais complexo

do que o necessrio;
Um alicerce slido de TI resistente a riscos de muitas maneiras: (a) problemas so

menos provveis, (b) quando problemas e falhas ocorrem, so mais rpida e facilmente
diagnosticados e reparados, (c) estimar riscos torna-se mais fcil e (d) torna-se mais fcil
fazer manutenes e implementar mudanas.
Governana dos Riscos da TI:
A governana dos riscos da TI o conjunto de processos, polticas e estruturas que

proporcionam uma viso em nvel empresarial de todos os riscos, de maneira tal que os
executivos podem priorizar e investir adequadamente na gesto desses riscos, ao mesmo
tempo em que gerentes de menor nvel podem gerir a maioria dos riscos em suas reas;
A governana dos riscos da TI compreende as etapas indicadas na Figura 10.
Figura 10 Etapas da Governana dos Riscos da TI

Riscos
Poltica e
Normas
Identificar e
Avaliar Riscos
Avaliao
de Risco
Priorizados
Priorizar
e Atribudos
Riscos e Atribuir
Responsabilidades
Lidar com Riscos
Definir Poltica e
Normas de Risco
Mensuraes e
Status Correntes
Monitorar e
Rastrear Riscos
Status das
Aes
38
Cultura de Conscincia dos Riscos da TI:
Esta disciplina leva uma organizao a um patamar no qual todas as pessoas, em todos
os nveis, esto cientes dos riscos, discutem-nos e assumem a responsabilidade pessoal
por administr-los;
Organizaes conscientes do risco desenvolvem uma conscincia generalizada acerca da

natureza e das consequncias do comportamento arriscado e estimulam a criao de uma
cultura em que o risco discutido e gerido abertamente.
Para cada disciplina focal de gesto dos riscos da TI, os autores (ibid.) citam um rol de
quesitos que sinalizam o grau em que a disciplina conduzida. O grau de competncia indica
que a disciplina aplicada de forma correta, porm com intensidade mediana; j o grau de
excelncia indica que ela aplicada no s de forma correta, mas tambm com intensidade
acima da mdia. O Quadro 6 exibe um resumo destes quesitos.
Quadro 6 Graus de Qualificao das Disciplinas Focais de Gesto dos Riscos da TI
Disciplina
Grau de Competncia
Alicerce
Grau de Excelncia
A arquitetura foi implantada risca

H protees bsicas contra ataques
e h esforos contnuos para
H um plano de continuidade para os negcios,
simplificar o alicerce
testado e atualizado com regularidade
Existe um processo capaz de gerir ativos e H uma renovao sistemtica e
incremental e uma ampliao
operaes de TI, apoiado por um slido
cuidadosa do alicerce simplificado
monitoramento
H uma arquitetura empresarial e tecnolgica, So continuamente investigadas
tecnologias
avanadas,
com
base para novos desenvolvimentos e planos
potencial para tornar obsoleta a
Existe e seguido um plano para renovar e/ou
base instalada ou para permitir um
eliminar aplicativos e componentes da infrasalto frente da concorrncia
estrutura complexos
Governana Existe um arranjo de governana em mltiplos

nveis; o processo gerido por uma nica pessoa
H
categorias
de
risco
formalmente
identificadas e documentadas
Riscos
so
registrados
e
rastreados
sistematicamente
H um esquema consistente de avaliao dos
riscos, aplicado ao menos uma vez por trimestre
Foram estabelecidas melhores prticas para a
gesto dos riscos da TI
H um processo formal para tratamento de
excees poltica de risco
Executivos conseguem descrever o processo de
governana dos riscos da TI
obrigatrio realizar avaliaes

dos sistemas existentes e daqueles
em desenvolvimento

medida
continuamente
a
efetividade dos esforos para
reduo dos riscos
A gesto dos riscos de TI
complementada por avaliaes de
novos parceiros e prestadores de
servio, bem como dos envolvidos
em processos de fuso e aquisies
H integrao plena entre a gesto
dos riscos de TI e os processos e
rgos de gesto dos demais riscos
39
Quadro 6 Graus de Qualificao das Disciplinas Focais de Gesto dos Riscos da TI (cont.)
Disciplina
Grau de Competncia
Grau de Excelncia
Conscincia Todos os funcionrios tratam abertamente a

questo dos riscos
Discusses sobre risco fazem parte da agenda
dos executivos
As estimativas utilizadas em projetos so
realistas, seus fatores crticos conhecidos e h
avaliaes peridicas do status
Executivos de TI e de negcios so capazes de
citar os trs maiores riscos inerentes s suas
responsabilidades e as aes para mitig-los
Todos os funcionrios so capazes de citar os
riscos da TI que os afetam
H lembretes frequentes sobre os

riscos da TI e sua gesto
H treinamento regular sobre os
riscos da TI e controles relevantes
H mecanismos efetivos para
reportar incidentes
Todos os funcionrios sentem-se
responsveis por identificar, lidar
com e prevenir os riscos da TI
Executivos consideram os riscos da
TI em suas decises
Executivos incorporam nos planos
de longo prazo cenrios futuros e
seus riscos quanto TI
FONTE: Adaptado de WESTERMAN e HUNTER; 2007; p. 164-165.
O Esquema 4A e as Disciplinas Focais de Gesto dos Riscos da TI combinam-se para

fornecer a base para a elaborao de estratgias para gesto dos riscos de TI. Esta combinao
pode ser visualizada no processo de gesto dos riscos da TI proposto pelos autores (ibid.) e
que est graficamente indicado na Figura 11.
Figura 11 Processo de Gesto dos Riscos da TI
Conhecimento da
Equipe Executiva
Conhecimento
dos Gerentes de
TI e Negcios
Planos para a
Governana dos
Riscos da TI
Lidar com Riscos
Planos para o
Alicerce de TI
Foras
Externas
Avaliar Riscos
Estratgicos da TI
Estratgia de
Gesto dos
Riscos da TI
Iniciativas
Estratgicas
Planos para a
Cultura de
Conscincia dos
Riscos da TI
Agilidade
Preciso
Acesso
Disponibilidade
Esquema 4A
Governana
Conscincia
Alicerce
Disciplinas Focais de
Gesto dos Riscos da TI
40
2.2.4
Riscos Inerentes Computao em Nuvem
Vrios autores j abordaram a questo dos riscos inerentes computao em nuvem,

existindo, em decorrncia, distintas listas que sugerem aspectos a serem considerados
relativamente a este tema. Dentre estes autores, foram selecionados cinco para terem suas
proposies analisadas em maior grau de detalhe.
Kim (op. cit.) um dos autores que cita riscos que podem afetar os consumidores de servios
de computao em nuvem:
Indisponibilidade:
A prtica tem mostrado que a indisponibilidade de servios oferecidos pelos provedores

mais qualificados extremamente pequena e no maior do que a obtida nos data
centers prprios; em geral, os nveis de servio pactuados com os consumidores tm sido
cumpridos de modo satisfatrio;
Entretanto, mesmo os provedores mais qualificados no esto livres de enfrentarem

problemas e verem seus servios ficar indisponveis para os consumidores por algum
perodo de tempo; em decorrncia, aconselhvel que os consumidores tomem medidas
preventivas para estas situaes; entre estas medidas, pode-se citar a manuteno de
verses atualizadas dos aplicativos em condies de ser executadas de modo ou em local
alternativo e a manuteno de backup dos dados em instalaes prprias ou, no limite, a
no transferncia de dados crticos para nuvens;
Outro aspecto importante a ser considerado a possibilidade do provedor interromper a

prestao dos servios de forma definitiva ou deixar de dispor de condies para
continuar prestando os servios da maneira pactuada; para prevenir-se de situaes desta
natureza, recomendvel a elaborao de um plano de contingncia, para viabilizar a
continuidade dos servios de modo alternativo.
Privacidade:
A integridade das informaes uma questo mandatria, seja em ambientes de

computao em nuvem ou com recursos prprios;
Os provedores devem adotar instrumentos e procedimentos os mais avanados

disponveis e esforar-se para prover nveis de segurana e privacidade melhores dos que
os alcanveis com o emprego recursos computacionais prprios.
41
Suporte:
Atualmente, o que se percebe que o suporte aos consumidores no prestado nos

nveis adequados;
Os provedores necessitam prover um suporte de melhor qualidade que aquele oferecido

internamente.
Aprisionamento e interoperabilidade:
O aprisionamento e a baixa interoperabilidade so problemas para os consumidores, que,

entretanto, j convivem com situaes deste tipo ao adquirirem outros servios que no
os de computao em nuvem.
Conformidade:
As empresas necessitam atender a dispositivos legais de diversas naturezas, o que as

obriga a preservar documentos e manter certas regras de conduta;
Em decorrncia, torna-se necessrio que os provedores de servios em nuvem agreguem

s suas ofertas instrumentos que garantam aos seus consumidores o atendimento a esses
dispositivos legais.
Smith (op. cit.) tambm oferece uma lista de riscos a serem considerados:
Privacidade:
Muitas empresas hesitam em transferir seus dados para um computador externo que
potencialmente possa permitir que esses dados sejam acessados por outras empresas que
venham a compartilhar esse computador;
Todavia, no h registro de ocorrncias de acesso a dados de um cliente por parte de

algum outro operando numa mesma nuvem; esta situao de aparente adequada proteo
pode derivar tanto do fato de efetivamente haver segurana suficiente nos ambientes de
nuvem quanto de no ter havido, at aqui, interesse real neste tipo de invaso.
Legislao:
Os consumidores devem ficar atentos s leis particulares dos pases nos quais os
equipamentos dos provedores de servios em nuvem esto instalados, pois elas se
aplicam aos dados neles armazenados;
42
Por exemplo, empresas europias e asiticas tm manifestado preocupao quanto a

dados armazenados em computadores situados nos Estados Unidos, pois a legislao
daquele pas faculta ao governo o acesso a dados mantidos em seu territrio.
Desempenho:
Consumidores que utilizam servios em nuvem h mais tempo tm reportado grandes

variaes no desempenho dos seus aplicativos;
Situaes deste tipo so decorrentes, em parte, do fato de que, quando se utiliza uma
aplicao num ambiente de nuvem, no possvel saber ou prever quem sero os demais
consumidores a compartilhar os recursos envolvidos e concorrer para uma eventual
degradao do desempenho.
Erros:
Tm sido reportados, e deve ser um ponto de ateno, problemas ocorridos em

decorrncia de erros nem sempre adequadamente identificados, mas responsveis por
interrupes significativas nos servios prestados por importantes provedores.
Aprisionamento:
A realidade atual mostra que os provedores tm oferecido servios com caractersticas

nicas e adotado mecanismos particulares para prover meios de comunicao para com
os consumidores e outros provedores;
A consequncia que os consumidores acabam por ficar limitados quanto capacidade

para transferir dados e aplicaes para outros provedores.
Capacidade finita:
Aparentemente, um provedor de servios em nuvem dispe de recursos ilimitados para

atender demanda dos consumidores; entretanto, na realidade, evidentemente essa
capacidade finita e distribuda de algum modo eficiente entre os demandantes;
Portanto, quando h situaes em que a demanda se concentra em algum recurso com

maior intensidade, pode no haver condies para que todos os demandantes sejam
atendidos.
Armbrust et al. (op. cit.) tambm se envolvem com este tema, relacionando o que denominam
os dez obstculos para a adoo e o crescimento da utilizao da computao em nuvem:
43
Disponibilidade dos servios:
Os consumidores preocupam-se se os servios contratados tero disponibilidade

satisfatria, pois este um dos pontos crticos da computao em nuvem;
O mecanismo de busca do Google uma referncia neste quesito se as pessoas tentam

fazer uma busca e este servio no est disponvel, acham que a Internet como um todo
est "fora do ar";
A alta disponibilidade de funes desta natureza faz com que os consumidores tenham a
expectativa de que todo e qualquer servio oferecido nas nuvens possa ter
comportamento semelhante, o que nem sempre verdadeiro.
Aprisionamento dos dados:
Apesar de existirem solues tcnicas para esta questo, a maioria dos provedores ainda
no oferece a possibilidade de migrao de dados de maneira fcil e gil;
Em decorrncia, este um tema que tem afugentado muitos consumidores, que no se

sentem confortveis com o fato de terem de conviver com limitaes quanto
transferncia de seus dados para outro provedor em caso de necessidade.
Confidencialidade e auditoria dos dados:
A legislao de vrios pases faculta a rgos governamentais e reguladores o acesso a

dados para fins de inspees e auditorias;
Como consequncia, muitos consumidores incomodam-se com a perspectiva de que os

provedores de servios em nuvem sejam obrigados a liberar a esses rgos o acesso a
dados confidenciais.
Gargalos de transferncia de dados:
Por questes diversas, pode ser conveniente para determinados consumidores transferir
sistematicamente dados para e de seus provedores, com a finalidade de executar certos
aplicativos especficos;
Ocorre que, dependendo dos volumes a serem trafegados, esta transferncia pode se
tornar excessivamente demorada e custosa, recomendando uma cuidadosa anlise e
reavaliao dos aplicativos envolvidos.
Imprevisibilidade do desempenho:
A prtica tem mostrado que mltiplas mquinas virtuais conseguem compartilhar de

forma satisfatria memria e unidades centrais de processamento, mas que o
44
compartilhamento de unidades de armazenamento problemtico, pois o desempenho

influenciado por aspectos mecnicos;
Do mesmo modo, determinados processos que demandam alta dedicao das unidades
centrais de processamento consomem muito mais tempo do que o esperado;
Essas situaes acabam por levar a um desempenho muito aqum do projetado para os
recursos envolvidos.
Escalabilidade da armazenagem:
Apesar de este ser um dos argumentos de venda da computao em nuvem, os

provedores tm enfrentado dificuldades tcnicas para prover esta escalabilidade quando
as estruturas de dados envolvidas se mostram complexas.
Erros em sistemas distribudos em alta escala:
Tem se mostrado um desafio na computao em nuvem a eliminao de erros ocorridos

neste tipo de sistema, pois comum os desenvolvedores se depararem com o fato de no
ser vivel reproduzir os erros em ambientes de desenvolvimento para identificar suas
causas, pois estes ambientes possuem configuraes limitadas, totalmente distintas das
existentes na operao efetiva.
Escalao rpida:
A rapidez para escalar recursos, tanto para mais quanto para menos, importante, porm
deve ocorrer de modo tal a permitir que essa variao no provisionamento de recursos
seja feito sem prejuzo dos nveis de servio pactuados e seja suportada por instrumentos
justos de apropriao de custos para fins de cobrana.
M reputao:
O comportamento inadequado de um nico consumidor (como, por exemplo, a prtica

de spam ou o no atendimento a um dispositivo legal), ao se tornar de conhecimento do
mercado, pode deixar transparecer ter havido a conivncia do provedor;
Situaes deste tipo podem no apenas afetar a reputao do provedor, mas fazer com
que os consumidores de uma maneira geral passem a ver a prpria computao em
nuvem com desconfiana.
Licenciamento de software:
Os esquemas de cobrana praticados pelos desenvolvedores de software para licenciar

seus produtos no tm se mostrado compatveis com a maneira pela qual esto sendo
45
compostas as ofertas de servios em nuvens, o que, por vezes, leva a situaes que
inviabilizam o uso de determinados software em funo do custo para os consumidores.
Qian et al. (op. cit.) tambm exploram a questo dos riscos na computao em nuvem,
destacando:
Privacidade e segurana:
O consumidor preocupa-se com sua privacidade e com a segurana de seus dados mais
do que o faz num servio tradicional de hospedagem;
Continuidade dos servios:
Diz respeito a questes tais como erros, falta de energia e outras interrupes de ordem
diversa, que podem interferir na continuidade da prestao dos servios, afetando,
inclusive, os nveis de servio pactuados;
Aprisionamento:
At o momento, no h uma padronizao das interfaces externas dos diversos

provedores de servios em nuvem, o que significa que, uma vez um consumidor
vinculando-se a um determinado provedor, ela praticamente fica preso a esse provedor,
sem possibilidade de migrar seus servios para outro.
Jensen et al. (op. cit.) analisam a questo dos riscos na computao em nuvem, porm sob
uma tica mais tecnicista e suas principais consideraes esto sumarizadas no Quadro 7.
Quadro 7 Riscos de Origem Tcnica Presentes na Computao em Nuvem
Risco
Detalhe
Adulterao da Modificao fraudulenta da assinatura XML em mensagem trocada entre web services,
Assinatura XML possibilitando a substituio da mensagem original por outra, potencialmente danosa.
Falhas de
segurana dos
browsers
Mesmo considerando a implementao de criptografia, os browsers disponveis no

mercado no possuem mecanismos completos de segurana, que impeam totalmente a
interceptao de mensagens.
Falhas de
integridade da
nuvem
Propicia a introduo fraudulenta de web services com funes destinadas a provocar o

mau funcionamento de servios operados na nuvem.
Ataques por
saturao
Pode levar a uma reduo drstica de desempenho, em decorrncia de sobrecarga dos

servidores ao tentar interpretar solicitaes sem sentido, submetidas com o nico
propsito de desestabilizar o ambiente.
FONTE: Adaptado de JENSEN et al.; 2009; p. 111-115.
46
2.2.5
Consideraes Sobre a Questo do Risco na Computao em Nuvem
Quanto aos riscos inerentes computao em nuvem, a questo se configura de modo distinto
do demandado pelos tpicos explorados no Captulo 1 deste documento. Aqui, no se trata de
selecionar uma proposio para ser adotada, mas de consolidar as listas apresentadas no
tpico anterior, com vistas a preparar uma base que possibilite a verificao da pertinncia
dessas listas, tendo em vista o escopo dos objetivos estabelecidos para esta pesquisa.
A reviso bibliogrfica realizada levou seleo das cinco listas de riscos expostas no tpico
acima. Cada um dos riscos citados nestas listas foi analisado em detalhe, luz das definies
oferecidas pelos autores, e os itens considerados idnticos ou muito assemelhados foram
unificados; do mesmo modo, itens de significado muito prximo foram integrados, passando a
compor um nico. Por fim, foi institudo um critrio de agrupamento, procurando estabelecer
um primeiro nvel de estruturao para os itens constantes da lista consolidada. O resultado
obtido est apresentado no Quadro 8 e serviu de referncia para a posterior validao emprica
proposta pela pesquisa.
Quadro 8 Consolidao dos Riscos Inerentes Computao em Nuvem
Grupo
Risco
Operacionais Falta de
privacidade
Definio
Fontes
Baixo grau de confidencialidade e Kim; Smith; Armbrust

deficincias de isolamento no ambiente da et al.; Qian et al.
nuvem, possibilitando acessos indevidos e/ou
adulterao de dados e/ou aplicativos de
consumidores
Falhas de
integridade
Permissividade para a introduo fraudulenta Jensen et al.

de agentes de software com funes
destinadas a provocar o mau funcionamento
de servios operados na nuvem
Erros
Falhas que implicam na necessidade de Smith; Armbrust et al.

reprocessar rotinas e/ou recuperar dados
Suporte
inadequado
Falhas de natureza diversa no servio de Kim

suporte: pessoal mal preparado, gargalos no
atendimento, indisponibilidade do servio
etc.
Baixo
desempenho
Desempenho insatisfatrio dos servios Smith; Armbrust et al.

contratados, em decorrncia de picos de
demanda, balanceamento inadequado e/ou
subdimensionamento dos recursos ou outros
fatores assemelhados
Ataques por
saturao
No deteco em tempo hbil de ataques que Jensen et al.

geram sobrecarga dos servidores ao tentar
interpretar solicitaes sem sentido que
desestabilizam o ambiente
47
Quadro 8 Consolidao dos Riscos Inerentes Computao em Nuvem (cont.)
Grupo
Risco
Operacionais Dificuldade para

(cont.)
escalar
Definio
Fontes
Demora excessiva ou dificuldades para Armbrust et al.

provisionar ou liberar recursos da nuvem
Baixa
Dificuldade significativa ou, no limite, Kim; Armbrust et al.
interoperabilidade impossibilidade de intercambiar dados e/ou
aplicativos entre distintos provedores
De Negcio
Estruturais
Indisponibilidade
Interrupo temporria dos servios em Kim; Smith; Armbrust

decorrncia de problemas tcnicos ou de et al.; Qian et al.
ordem diversa de parte do provedor
No-continuidade
Interrupo definitiva da prestao dos Kim

servios pelo provedor
No-conformidade No atendimento a aspectos ditados pela Kim; Smith

legislao ou disciplinados por padres de
larga aceitao na indstria
Licenciamento
de software
Limitaes impostas ao provedor por Armbrust et al.

contratos de licenciamento de software
inadequadamente pactuados com seus
fornecedores
Aprisionamento
Dificuldade significativa ou, no limite, Kim; Smith; Armbrust

impossibilidade de trocar de provedor, et al.; Qian et al.
devido a particularidades do ambiente
M reputao
Ampla repercusso de aspectos negativos Armbrust et al.

envolvendo a prestao de servios a um
determinado consumidor ou a um grupo de
consumidores
O grupo dos riscos operacionais engloba os riscos passveis de afetar o dia-a-dia da prestao
dos servios, ou por deficincias do prprio provedor, em termos de processos e/ou
instrumentos de governana, ou por inadequao dos ativos e recursos por ele empregados
(hardware, software, meios de comunicao e pessoal). O grupo dos riscos de negcio
abrange aqueles associados atitude do provedor, como empresa, frente a situaes crticas
que possam advir. O grupo dos riscos estruturais compreende os riscos passveis de afetar a
mdio e longo prazos a prestao dos servios, em decorrncia de decises deliberadamente
tomadas pelo provedor em discordncia com o senso comum e/ou o respeito legislao.
2.2.6
Gesto de Riscos na Computao em Nuvem
semelhana do que ocorre com qualquer outro aspecto dos negcios, constitui-se numa boa
prtica a adoo de uma abordagem baseada em avaliao dos riscos e da segurana, ao
considerar a possibilidade de contratar servios de computao em nuvem (CSA, op. cit.).
48
A segurana uma preocupao prioritria para muitos dos consumidores de computao em

nuvem e tem uma parcela de influncia nas decises de compra. Este comportamento dos
consumidores deve ser visto pelos provedores de servios em nuvem como um importante
direcionador para o aprimoramento das suas prticas de segurana (ENISA, 2009).
Uma postura voltada segurana caracterizada pela maturidade, eficcia e completude das
regras de segurana implementadas, as quais devem focar desde as facilidades (segurana
fsica), passando pela infra-estrutura de rede (segurana de rede), os sistemas (segurana de
sistemas), a informao e os aplicativos (segurana de aplicativos) e envolvendo ainda as
pessoas e os processos de trabalho (CSA, op. cit.).
As regras de segurana aplicveis aos ambientes de computao em nuvem no so, na sua
quase totalidade, diferentes das adotadas em qualquer outro ambiente de TI. Contudo, face s
caractersticas das ofertas de servio, dos modelos de implementao e das tecnologias
empregados na computao em nuvem, podem advir riscos diferentes dos tradicionalmente
associados TI (Ibid.).
A CSA (op. cit.) estabeleceu um conjunto de domnios para a segurana em computao em
nuvem, os quais esto agrupados em duas categorias: governana e operaes. A categoria de
governana compreende os domnios mais abrangentes, que endeream questes estratgicas
e de polticas no ambiente de computao em nuvem, ao passo que a categoria de operaes
foca em aspectos mais tticos da segurana. Em cada uma das categorias, so os seguintes os
domnios definidos:
Governana:
Governana e gesto empresarial de riscos;
Inovao legal e eletrnica;
Conformidade e auditoria;
Gesto do ciclo de vida da informao;
Portabilidade e interoperabilidade.
Operaes:
Segurana convencional, continuidade dos negcios e recuperao de desastres;
Operaes do data center;
49
Resposta a incidentes, notificaes e reparos;
Segurana de aplicativos;
Criptografia e gerenciamento de chaves;
Gerenciamento de identidades e acesso;
Virtualizao.
Na publicao Security Guidance for Critical Areas of Focus in Cloud Computing, da qual
foram extradas as categorias e os domnios acima apresentados, cada domnio detalhado e a
cada um deles est ainda associado um amplo elenco de recomendaes (Ibid.).
Diferentemente do que j ocorre com a questo dos riscos inerentes computao em nuvem,
abordada no tpico 2.2.4, a literatura ainda no apresenta uma diversidade de proposies
relativas gesto dos riscos nestes ambientes. Na realidade, fica um tanto evidente que, no
caso da gesto dos riscos, a abordagem est sendo conduzida mais no plano dos prticos do
que dos acadmicos e, portanto, as publicaes tendem a ser mais oriundas de instituies do
que de pesquisadores. Porm, mesmo no caso das instituies, foi possvel identificar apenas
um trabalho voltado a este tema, que o desenvolvido pela CSA (op. cit.), mas cuja proposta
ainda parcial e consiste de um esquema destinado aplicao por parte de potenciais
consumidores de servios em nuvem. Este esquema cobre unicamente a questo da deciso
quanto escolha de um provedor para processar um determinado conjunto de aplicaes e
compreende os seguintes passos:
Passo 1 Identificar os ativos a serem transferidos para a nuvem:
Em linhas gerais, os ativos passveis de serem tratados em nuvens enquadram-se em

duas classes: (a) dados e (b) aplicativos, funes e processos; nos ambientes de nuvem,
ou so movimentados dados ou ento so realizados processamentos, envolvendo
aplicativos, funes e processos;
Os ativos de um consumidor de servios de computao em nuvem no precisam estar

em uma nica localizao fsica e nem mesmo alocados a um nico provedor; alm
disso, todos os ativos no precisam estar em nuvens de terceiros, podendo parte deles
permanecer em data centers convencionais do prprio consumidor;
Neste contexto, o primeiro passo do processo de gesto dos riscos determinar quais
dados e/ou funes so passveis de transferncia para nuvens.
50
Passo 2 Avaliar os ativos:
Para os ativos que podem ser direcionados a nuvens, deve-se determinar sua importncia
para a organizao; no imperativo que esta avaliao seja extremamente detalhada, a
menos que j exista um processo formal que possibilite realiz-la desta forma;
Para cada ativo, devem ser formuladas as seguintes questes:

1. Qual seria o impacto se este ativo se tornasse de conhecimento pblico?
2. Qual seria o impacto se algum funcionrio dos provedores tivesse acesso a este ativo?
3. Qual seria o impacto se este processo ou funo fosse manipulado por um estranho?
4. Qual seria o impacto se este processo ou funo deixasse de produzir os resultados
esperados?
5. Qual seria o impacto se este dado fosse modificado de forma inesperada?
6. Qual seria o impacto se este ativo se tornasse indisponvel por um perodo de tempo?
Essencialmente, o objetivo das questes acima avaliar os requisitos de

confidencialidade, integridade e disponibilidade dos ativos e como estes atributos podem
ser afetados se todos ou parte dos ativos sofrer algum tipo de manipulao ou acesso
indevido na nuvem.
Passo 3 Confrontar os ativos com os modelos de implementao da computao em

nuvem:
De posse da avaliao, tem-se um entendimento da importncia dos ativos envolvidos e

pode-se ento determinar quais modelos de implementao (vide Figura 3) so mais
adequados e se os riscos inerentes a cada um deles so ou no aceitveis;
Com isto, chega-se a uma boa ideia acerca do grau de conforto da transio para a
nuvem e quais modelos atendem aos requisitos de risco.
Passo 4 Avaliar os modelos e provedores potenciais:
Neste passo, o foco recai sobre o grau de controle que ser possvel ter em cada oferta de
servios (software, plataforma e infra-estrutura) para implementar a gesto dos riscos
junto aos provedores potenciais.
Passo 5 Esboar os fluxos de dados possveis:
Para cada potencial provedor, deve-se mapear o fluxo de dados entre este, o consumidor
e quaisquer outros possveis intermedirios; importante conhecer os possveis
51
caminhos a serem percorridos pelos dados que sero transferidos para as nuvens, antes
de se tomar a deciso final quanto contratao.
A CSA (op. cit.) defende que, aplicando o processo acima exposto, os consumidores tornamse aptos a compreender: (a) a importncia dos ativos que consideram passveis de serem
transferidos para nuvens de terceiros, (b) seu prprio grau de tolerncia aos riscos associados
a essa transferncia e (c) quais possveis combinaes entre ofertas de servios e modelos de
implementao lhes so aceitveis.
2.2.7
Consideraes Sobre as Proposies Relativas Segurana e Gesto de

Riscos na Computao em Nuvem
Recorrendo Figura 6, que prima pela simplicidade, porm possui um significativo apelo
visual, imediato afirmar que, para posicionar-se numa situao de segurana ou no "plano da
segurana" 11, uma organizao necessita reduzir seus riscos at torn-los aceitveis. Uma
vez tornados aceitveis, os riscos deixam de se constituir em perigo potencial e podem
contribuir para o aproveitamento de oportunidades, como destacado pela ISO e pelo COSO.
Para possibilitar a uma organizao posicionar-se no plano da segurana, o instrumento a ser
empregado a gesto dos riscos. No faltam, na literatura, proposies voltadas gesto de
riscos e a pesquisa bibliogrfica realizada conduziu identificao de vrias delas, dentre as
quais este documento destaca: (a) no tpico 2.2.2, cinco roteiros genricos para gesto de
riscos em organizaes, propostos por Kliem, Habegger, Raz e Hillson, Crouhy et al. e pela
ISO; (b) no tpico 2.2.3, um roteiro para gesto de riscos da TI, introduzido por Westerman e
Hunter e (c) no tpico 2.2.6, um roteiro parcial para gesto especfica de riscos em ambientes
de computao em nuvem, proposto pela CSA.
Em tese, razovel supor que os modelos e esquemas vlidos para a gesto dos riscos de uma
maneira geral possam ser aplicados gesto dos riscos da TI, assim como estes possam ser
aplicados gesto de riscos na computao em nuvem.
____________________________
11
Nota: semi-plano, na realidade, para ser geometricamente preciso, dado que a linha vertical tracejada da Figura
6 divide o plano em dois semi-planos: o da segurana, esquerda, e o do perigo, direita.
52
De fato, quando se compara roteiros para gesto de risco, como os citados no tpico 2.2.2
deste documento, com aquele proposto por Westerman e Hunter (op. cit.) para a gesto dos
riscos da TI, verifica-se que h total semelhana entre as atividades recomendadas por todos
eles. Em particular, imediato associar as etapas do esquema proposto por Habegger (op.
cit.), descritas no tpico 2.2.2, com suas correspondentes exibidas na Figura 10, que oferece
uma viso do esquema de Westerman e Hunter (op. cit.).
Da mesma forma, quando se analisa mais de perto o roteiro recomendado por Westerman e
Hunter (op. cit.), pode-se entender que a etapa de identificao e avaliao de riscos nele
presente pode ser adequadamente adaptada para contemplar os requisitos especficos inerentes
computao em nuvem. Se o esquema da CSA fosse completo, poderia ser adotado para
compor um modelo de referncia para a gesto de riscos na computao em nuvem; porm,
como se trata de um esquema apenas parcial, torna-se necessrio identificar ou elaborar um
esquema completo de gesto de riscos para, a sim, compor um modelo vivel de ser aplicado.
53
MTODO DE PESQUISA
At este momento do estudo, os trs primeiros objetivos secundrios estabelecidos haviam

sido alcanados e representados pelo contedo do Captulo 2 deste documento. De modo a
poder cumprir com o ltimo objetivo secundrio e com o objetivo principal, seria ainda
necessrio, respectivamente: (a) explorar e verificar a pertinncia e adequao dos benefcios
apontados e das proposies relativas s barreiras e aos riscos associados computao em
nuvem e (b) fazer recomendaes destinadas a auxiliar os tomadores de servios oferecidos
em nuvens a tratar a questo dos riscos.
Para atender ao objetivo secundrio remanescente, a opo metodolgica foi pela realizao
de um painel Delphi, tomando por base as proposies relativas a barreiras e riscos e as
indicaes dos benefcios, conforme identificadas na literatura afeta computao em nuvem
e j devidamente condensadas, estruturadas e comentadas no Captulo 2. Neste presente
captulo, o mtodo Delphi ento apresentado em detalhe, passando-se pela sua definio,
histrico, vantagens e desvantagens, modalidades e exemplos de aplicao e culminando com
a justificativa para sua escolha como instrumento central desta pesquisa e com a definio da
sistemtica adotada para sua aplicao. Em face de uma srie de fatores, adiante melhor
explorados, o Delphi posicionou-se como o mtodo mais indicado para possibilitar rever e
refinar as consideraes extradas da literatura, contando com a colaborao e opinio de
acadmicos e profissionais de TI.
3.1
O Mtodo Delphi: Definio e Histrico
O mtodo Delphi foi desenvolvido pela Rand Corporation, nos Estados Unidos, na dcada de
50 do sculo passado, para apoiar pesquisas militares de cunho estratgico. De incio
denominado expert judgment (RAND CORPORATION, 2005), teve posteriormente sua
denominao alterada para Delphi e foi, pela primeira vez, reportado num documento interno
da Rand datado de 14/11/1951 e denominado "The use of experts for the estimation of
bombing requirements" (DALKEY e HELMER, 1962).
54
A divulgao do Delphi, entretanto, somente foi autorizada dez anos mais tarde, depois de
transcorrido um prazo considerado satisfatrio pela Rand e pelas autoridades militares norteamericanas, cabendo aos pesquisadores internos Dalkey e Helmer (op. cit.) realiz-la.
No instrumento utilizado para divulgao (ibid.), o Delphi definido como um mtodo que
busca obter a opinio coletiva mais confivel de um grupo de especialistas, aos quais so
aplicados questionrios e/ou entrevistas individuais combinados com feedback controlado, ao
longo de uma srie de ciclos ou rodadas. Em assim procedendo, afirmam estes autores que o
processo, se no leva obrigatoriamente ao consenso, no mnimo leva convergncia das
respostas ao final de um nmero relativamente reduzido de ciclos.
Ao longo dos anos 50 e da primeira metade dos anos 60 do sculo passado, o mtodo Delphi
foi sendo aperfeioado pelos pesquisadores da Rand. Por meio de um novo estudo publicado,
Dalkey (1967) explicita as caractersticas bsicas do Delphi, na sua viso: (a) anonimato, (b)
feedback controlado e (c) estatstica associada resposta coletiva. O anonimato implica no
no conhecimento, por parte de cada um dos participantes, das opinies individuais dos
demais, com vistas a evitar quaisquer tipos de interferncias ou influncias. O feedback
controlado continua significando a divulgao, ao trmino de cada ciclo, das opinies dos
participantes para os prprios, sob a forma de resumos padronizados elaborados pelos
pesquisadores. A estatstica associada resposta coletiva representada por um valor
numrico, estatisticamente determinado, capaz de representar adequadamente o conjunto das
opinies dos especialistas ao final de cada ciclo.
Posteriormente, o prprio Dalkey (1969) associa caracterstica do feedback controlado a
questo da iterao, reforando a importncia dos ciclos no processo de aplicao do Delphi e
indicando sua vinculao inseparvel ao feedback.
Aps analisar diversos estudos nos quais o Delphi foi empregado, Linstone e Turoff (1975)
propem uma viso um pouco distinta e resumem sua definio e as caractersticas, afirmando
que ele pode ser entendido como um mtodo destinado a estruturar um processo de
comunicao que permite a um grupo de indivduos lidar com problemas complexos, por
meio de: (a) feedback de contribuies individuais de informaes e conhecimentos, (b)
avaliao da opinio ou viso do grupo, (c) oportunidade para os participantes revisarem suas
opinies e (d) anonimato dos participantes.
55
Mais tarde, outros autores, em particular Rowe et al. (1991), passam a considerar que so
quatro as caractersticas bsicas do Delphi, colocando a iterao em separado, e reforam que
a repetio do processo de questionamento por meio dos ciclos propicia aos especialistas a
oportunidade de rever suas opinies e respostas luz do conhecimento agregado do grupo.
3.2
Modalidades e Sistemticas de Aplicao do Mtodo Delphi
Na sua formulao original, o mtodo Delphi foi concebido para ser aplicado a situaes que
envolviam a necessidade de gerar estimativas relativas a um determinado tema ou assunto.
Dalkey (1969) refora que as aplicaes iniciais do Delphi na Rand foram realizadas com este
foco. Posteriormente, Delbecq et al. (1975) mencionam o emprego do Delphi na obteno de
pareceres sobre a importncia relativa de quesitos afetos a um determinado tema, na
modalidade que passou a ser conhecida como ranking form.
Schmidt (1997) destacou que, no caso da utilizao do mtodo Delphi voltada obteno de
estimativas, seus prprios criadores, e outros autores posteriormente, definiram um esquema
para aplicao, ao passo que a modalidade ranking form no dispunha at aquele momento de
uma sistemtica estruturada equivalente.
Para ser aplicado obteno de estimativas, Dalkey e Helmer (op. cit.) propem como
sistemtica que em cada ciclo ou rodada: (a) sejam apresentadas questes aos especialistas
participantes, (b) as respostas sejam colhidas, tabuladas, despersonalizadas e sumarizadas e
(c) o sumrio seja devolvido aos participantes, acompanhado por um novo questionamento.
Linstone e Turoff (op. cit.), por sua vez, apresentam uma sistemtica para aplicao do
mtodo Delphi para a obteno de estimativas composta por quatro etapas a serem executadas
ao longo de cada ciclo:
Etapa 1: explorar o objeto em discusso, ao longo da qual cada participante contribui com a
informao individual de que dispe relativamente ao tema;
Etapa 2: obter a viso coletiva do grupo acerca do tema, com a explicitao dos pontos de
concordncia e discordncia;
56
Etapa 3: se h pontos relevantes de discordncia, reavaliar esses pontos, com vistas a

explorar as diferenas e rever posies;
Etapa 4: finalizar avaliao, ao longo da qual concluda a anlise da informao

compilada e produzido feedback para anlise.
No que diz respeito aplicao do Delphi na modalidade ranking form, Schmidt (op. cit.)
prope uma sistemtica que consta de cinco etapas: identificar quesitos, determinar quesitos
mais relevantes, ordenar quesitos, analisar resultados e apresentar resultados. Em detalhe, este
esquema compreende:
Etapa 1 Identificar quesitos:
Os painelistas devem ser encorajados a indicar o maior nmero possvel de quesitos, de

modo a garantir que os mais relevantes sejam, de fato, lembrados e indicados;
Cada quesito deve, na medida do possvel, ser acompanhado de uma descrio, que torne
suficientemente claro o seu significado;
Caso seja adotada a opo de recomendar aos painelistas uma quantidade mnima de
quesitos a serem indicados, a quantidade ideal a ser sugerida seis;
Uma vez feitas as indicaes por parte de todos os painelistas, o pesquisador deve
interpret-las e consolid-las numa lista nica, tendo o cuidado de garantir que quesitos
que aparentem ser os mesmos, mas que possuam descries diferentes, sejam
adequadamente tratados.
Etapa 2 Determinar quesitos mais relevantes:
Os quesitos constantes da lista consolidada elaborada na etapa anterior devem ser

colocados numa sequncia aleatria e assim enviados aos painelistas, aos quais ser
solicitado indicar uma certa quantidade mnima de quesitos como sendo os mais
importantes ou relevantes;
De posse das indicaes, o pesquisador deve eliminar da lista nica os quesitos no

indicados pela maioria simples de painelistas (metade do tamanho do grupo mais um).
Etapa 3 Ordenar quesitos:
Uma vez mais, os quesitos presentes na lista consolidada elaborada ao final da etapa
anterior devem ser colocados numa sequncia aleatria e assim enviados aos painelistas,
aos quais ser solicitado coloc-los em ordem de importncia relativa;
57
De posse das listas ordenadas por cada um dos painelistas, o pesquisador deve
consolid-las, para finalmente obter um ranking representativo da opinio coletiva; esta
consolidao deve ser realizada com o emprego de um mtodo estatstico e existem
vrios deles aplicveis a este caso, mas a recomendao, no entanto, que seja utilizado
o mtodo de Kendall e Smith (1939), que conduz a uma soluo nica e de fcil
obteno e entendimento;
Uma vez obtido o ranking coletivo, importante verificar o grau de concordncia

existente entre os painelistas, o que pode ser medido pela estatstica W, denominada
coeficiente de concordncia (Ibid.); igualmente relevante que a significncia de W seja
verificada, o que pode ser feito com o emprego de um teste de 2 ;
Quando se adota uma srie de ciclos de consulta para refinar as opinies dos painelistas
relativamente ao ranking consolidado, esta mesma estatstica W pode ser utilizada como
instrumento para sinalizar quando a srie de ciclos pode ser interrompida, pois o
incremento no valor de W de um ciclo para outro tem relao direta com o aumento da
concordncia entre os painelistas; se no h um aumento significativo do valor de W de
um ciclo para outro, o processo pode ser interrompido e a lista ordenada consolidada
quando dessa interrupo ento utilizada como ranking definitivo.
Etapa 4 Analisar resultados:
O ranking definitivo analisado, buscando-se dele extrair concluses relativas ao objeto

da pesquisa.
Etapa 5 Apresentar resultados:
Esta apresentao pode se dar sob diversas formas: texto, tabelas, quadros explicativos e
grficos;
importante que o pesquisador descreva todas as etapas do processo e relate as

ocorrncias mais relevantes, em particular as divergncias havidas e os passos
executados para sua resoluo;
Devem tambm fazer parte da documentao apresentada os clculos realizados, os

valores obtidos para as estatsticas adotadas e outros dados quantitativos relevantes.
Ainda relativamente aplicao do Delphi na modalidade ranking form, Skulmoski et al.

(2007) tm dado preferncia adoo de trs ciclos e desenvolveram uma sistemtica
especfica para tal, composta por 12 etapas e reproduzida na Figura 12.
58
Figura 12 Sistemtica para Aplicao do Mtodo Delphi em 3 Ciclos
Experincia
Literatura
Definir
Questo de
Pesquisa
Desenhar
Pesquisa
Selecionar
Especialistas
Preparar
Ciclo 1
Realizar
Piloto
Preparar
Ciclo 2
Realizar e
Analisar
Ciclo 2
Preparar
Ciclo 3
Realizar e
Analisar
Ciclo 2
EstudosPiloto
Realizar e
Analisar
Ciclo 1
Documentar
e Concluir
Pesquisa
FONTE: Adaptado de SKULMOSKI et al.; 2007; p. 3.
Em detalhe, esta sistemtica compreende:
Etapa 0 Organizar pesquisa:
Considera a experincia do pesquisador relativamente ao tema escolhido para a pesquisa,

complementada por uma reviso da literatura pertinente;
Se necessrio, estudos-piloto podem ser realizados, quando o pesquisador sente a

necessidade de validar sua experincia sobre o tema e/ou certificar-se da relevncia deste
para os destinatrios potenciais dos resultados da pesquisa.
Etapa 1 Definir questo de pesquisa:
Abrange a explicitao da questo de pesquisa, que direciona todas as demais etapas do

estudo.
Etapa 2 Desenhar pesquisa:
Compreende a estruturao da pesquisa, com a escolha do mtodo a ser empregado

(neste caso particular, o Delphi) e o estabelecimento de todas as fases e atividades.
Etapa 3 Selecionar especialistas:
Esta uma etapa crtica do mtodo Delphi;
Em geral, h quatro requisitos que qualificam um especialista para participar da

pesquisa: (a) conhecimento e experincia no tema em estudo, (b) aptido e interesse, (c)
disponibilidade e (d) habilidade em se comunicar.
Etapa 4 Preparar ciclo 1:
Corresponde elaborao do primeiro questionrio a ser aplicado aos painelistas;
59
Requer cuidado e ateno da parte do pesquisador, de modo a produzir um elenco de

questes que sejam efetivamente compreendidas e possam levar obteno de respostas
adequadas para a evoluo satisfatria do estudo.
Etapa 5 Realizar piloto:
Esta no uma etapa mandatria; pesquisadores experientes podem suprimi-la sem

incorrer em prejuzos para a pesquisa;
Se realizado, o piloto destina-se a validar o questionrio inicial e o processo adotado

para a conduo do painel; pode-se, eventualmente, testar tambm os demais
questionrios a serem utilizados.
Etapa 6 Realizar e analisar ciclo 1:
Congrega a distribuio do primeiro questionrio, a recepo das respostas e a anlise

destas.
Corresponde elaborao do segundo questionrio da pesquisa, o qual deve basear-se

nas respostas obtidas e concluses da etapa anterior;
O contedo deste questionrio tambm ditado pelos objetivos da pesquisa, dependendo

de estes serem mais ou menos focados somente nas opinies dos painelistas e de
contemplarem estimativas ou rankings.
anloga etapa 6, com foco no segundo questionrio.
anloga etapa 7;
Este questionrio j bastante mais especfico e direcionado, pois compreende as

questes que finalizam as consultas aos especialistas.
anloga s etapas 6 e 8, com foco no terceiro questionrio;
Adicionalmente, esta etapa deve conter um teste que verifique se o painel pode, de fato,
ser dado por concludo ou se ser necessria a realizao de um ou mais novos ciclos; no
caso de serem necessrios ciclos adicionais, deve-se repetir as etapas 9 e 10 tantas vezes
quantas forem necessrias.
60
Etapa 11 Documentar e concluir pesquisa:
Compreende a documentao dos resultados obtidos, de forma adequada para

publicao;
Deve contemplar ainda a explorao das possibilidades de generalizao desses

resultados e de extenso e complementao futuras da pesquisa.
Visando complementar o ferramental necessrio aplicao do mtodo Delphi, Okoli e

Pawlowski (2004) propem uma sistemtica para identificar e escolher os especialistas a
serem convidados para participar de um painel Delphi. A Figura 13 apresenta uma viso
sinttica desta proposta.
Figura 13 Sistemtica para Escolha de Especialistas para um Painel Delphi
Passo 1: Preparar quadro de
requisitos
Identificar disciplinas e perfis relevantes

Identificar organizaes relevantes
Identificar literatura acadmica e no-acadmica relevante
Passo 2: Popular quadro de

requisitos com candidatos
Associar pessoas s disciplinas e perfis relevantes

Listar pessoas vinculadas s organizaes relevantes
Listar pessoas vinculadas literatura relevante
Passo 3: Identificar
especialistas adicionais
Contatar os especialistas candidatos

Solicitar aos especialistas a indicao de pessoas adicionais que
satisfaam aos requisitos

Passo 4: Elaborar ranking

dos especialistas
Criar uma sublista para cada painel independente a ser conduzido

Alocar os especialistas aos painis (e s sublistas)
Classificar os especialistas com base em suas qualificaes
Passo 5: Convidar
especialistas
Convidar os especialistas, de acordo com o ranking

Objetivar contar com entre 10 e 18 especialistas, parando o processo
quando este objetivo for alcanado
FONTE: Adaptado de OKOLI e PAWLOWSKI; 2004; p. 21.
Rowe e Wright (2001), por sua vez, sugerem um conjunto de princpios prticos para nortear
a aplicao do Delphi, os quais esto relacionados no Quadro 9.
Quadro 9 Princpios Prticos para Aplicao do Mtodo Delphi
Princpio Enunciado
1
Convoque especialistas com conhecimento adequado
Utilize especialistas com perfil heterogneo
Empregue entre cinco e 20 especialistas
61
Quadro 9 Princpios Prticos para Aplicao do Mtodo Delphi (cont.)
Princpio Enunciado
4
Para o feedback, disponibilize a mdia ou a mediana das opinies, acrescidas das razes
apresentadas pelos especialistas para suas indicaes
Continue com os ciclos at que as respostas mostrem estabilidade; em geral, trs ciclos so
suficientes
Obtenha o resultado final agregando as opinies de todos os especialistas e atribuindo pesos

iguais a elas
Ao elaborar as questes, empregue definies claras e sucintas e evite termos emotivos
Estruture as questes de forma balanceada
Evite incorporar informao irrelevante s questes
10 Sempre que possvel, fornea estimativas sob a forma de frequncias e no de probabilidades

ou expresses no usuais
11 Realize testes de coerncia ao estimar probabilidades
FONTE: Adaptado de ROWE e WRIGHT; 2001; p. 127-135.
3.3
Exemplos de Aplicao do Mtodo Delphi
Gupta e Clarke (1996) realizaram um extenso levantamento bibliogrfico sobre a utilizao

do mtodo Delphi no perodo compreendido entre 1975 e 1994 e identificaram 463 artigos
nos quais o Delphi foi empregado, sendo que em 254 deles como tcnica principal e nos
restantes 209 como tcnica secundria, com as aplicaes distribuindo-se entre as mais
diversas reas de conhecimento: educao, negcios, gesto, marketing, manufatura, finanas,
economia, recursos humanos, sade, informao e gesto, mercado imobilirio, negcios
internacionais, cincias sociais, engenharia, lazer e turismo, meio ambiente e transportes.
Schmidt (op. cit.), por sua vez, menciona a existncia de aplicaes do mtodo Delphi, na
modalidade de estimativa, nos campos da administrao pblica, medicina e difuso de
tecnologia e, na modalidade ranking form, nos campos da educao, gesto de operaes e TI.
Rowe e Wright (1999) citam estudos em sade, marketing, educao, TI, transporte e
engenharia nos quais foi empregado o Delphi. Okoli e Pawlowski (op. cit.) apresentam uma
extensa relao de estudos em TI nos quais foi aplicado o mtodo Delphi, tanto para produzir
estimativas quanto para elaborar rankings. De modo semelhante, Skulmoski et al. (op. cit.)
tambm apresentam uma lista de estudos, em TI e em outras reas de conhecimento que no a
TI, nos quais o Delphi foi empregado.
62
Todo esse conjunto de exemplos mostra a versatilidade e a amplitude de utilizao do mtodo

Delphi. Reproduzindo palavras de Skulmoski et al. (op. cit., p. 2): "O Delphi um mtodo de
pesquisa maduro e bastante adaptvel, utilizado por pesquisadores em muitos distintos
campos de pesquisa ao redor do mundo." 12
No levantamento que realizaram, Rowe e Wright (1999) selecionaram, para analisar em mais
detalhe, 27 estudos publicados entre 1962 e 1996 nos quais o Delphi foi aplicado e
verificaram que em cerca de dois teros deles foram realizados apenas dois ou trs ciclos
(respectivamente, em oito e em nove estudos), sendo que, nos demais, foram executados de
quatro a sete ciclos. Nestes estudos, a quantidade de especialistas envolvidos variou de trs a
98, com maior concentrao na faixa de quatro a 11.
J no seu levantamento, Skulmoski et al. (op. cit.) documentaram a aplicao do Delphi a 16
diferentes estudos publicados entre 1973 e 2005 e detectaram que em 11 deles foram
realizados trs ciclos, em outros trs apenas dois ciclos e, nos dois remanescentes, um nico
ciclo. Considerando todo o conjunto de estudos, a quantidade de especialistas envolvidos
variou de trs a 171, com maior concentrao na faixa de nove a 21.
Estes ltimos autores (ibid.) tambm promoveram um extenso levantamento acerca da
utilizao do Delphi em teses e dissertaes. Identificaram, poca, cerca de 280 trabalhos
desta natureza na base ProQuest (www.proquest.co.uk/en-UK/default.shtml) e examinaram 41
deles em maior detalhe; entre estes, predominaram uma vez mais as aplicaes com trs
ciclos, em nmero de 29, contra sete com dois ciclos, quatro com quatro ciclos e um com
cinco ciclos. A quantidade de especialistas envolvidos variou de oito a 345, com maior
concentrao na faixa de 11 a 37. Os temas das dissertaes e teses tambm foram os mais
variados, abrangendo TI, educao, sade, medicina, psicoterapia, administrao e esportes.
Como parte do levantamento preliminar integrante desta pesquisa, foi feita, em 20/08/2010,
uma consulta ao banco eletrnico de teses da Universidade de So Paulo (www.teses.usp.br),
utilizando a busca avanada deste stio com o argumento "Delphi" no resumo ou nas palavras-
____________________________
12
"The Delphi method is a mature and a very adaptable research method used in many research arenas by
researchers across the globe."
63
chave. Esta pesquisa resultou na identificao de nove dissertaes de mestrado e 14 teses de

doutorado, de autoria de estudantes brasileiros, nas quais o mtodo Delphi foi empregado.
Dentre estes trabalhos, a rea de enfermagem est contemplada com sete estudos, as reas de
engenharia civil e sade com trs estudos cada, as reas de recursos humanos e tecnologia
nuclear com dois cada e os demais se distribuem entre TI, administrao, contabilidade,
engenharia de produo, educao e esporte. O Apndice 1 apresenta detalhes acerca destas
dissertaes e teses, relacionadas em ordem cronolgica.
3.4
Justificativa para a Escolha do Mtodo Delphi
Um exerccio de explorao e verificao da pertinncia e adequao de proposies por meio

da opinio de especialistas pode ser feito com o emprego de diversos mtodos distintos de
anlise cientfica, entre os quais se inclui o Delphi.
Hallowell e Gambatese (2010) comentam alguns mtodos alternativos ao Delphi:
Staticized Group:
Este mtodo semelhante ao Delphi, mas limita-se realizao de um ciclo ou rodada,

no buscando o refinamento das opinies dos especialistas nem tampouco o consenso, o
qual, se ocorre, d-se por acaso e no em decorrncia de uma busca sistematizada;
A questo do anonimato preservada.
Focus Group:
Tambm semelhante ao Delphi, porm possibilita a interao entre os participantes,

dado que os trabalhos so realizados em sesses ou reunies das quais todos os
painelistas participam;
Em decorrncia, o anonimato no preservado e abre-se espao para a ocorrncia das

situaes consideradas mais negativas nas interaes presenciais: (a) a dominao e (b) a
dificuldade das pessoas em se expor, reconhecendo opinies prprias equivocadas e
procurar modific-las ou corrigi-las;
H ainda a questo logstica, que pode ser impactante, pois todos os participantes devem
ser reunidos num nico local fsico, a menos que se viabilizem esquemas de
comunicao visual e oral distncia (do tipo videoconferncias ou assemelhados).
64
Nominal Group Technique, NGT:
Combina o Delphi com o Focus Group, na medida em que as opinies so colhidas

isoladamente (tal como no Delphi), porm o feedback fornecido reunindo-se o grupo
de participantes (como no Focus Group);
Acaba por incorporar as desvantagens dos dois mtodos.
Graefe e Armstrong (2011) acrescentam lista acima o prediction markets, que um mtodo
cuja aplicao se d por meio da negociao de contratos entre os participantes, num contexto
que preserva o anonimato; este artigo apresenta um estudo comparativo entre o Focus Group,
NGT, prediction markets e Delphi, focando na preciso e aceitao do mtodo pelos
participantes, e conclui que o Delphi o mais preciso. J Rowe e Wright (1999) incluram em
seu estudo uma reviso bibliogrfica sobre a aplicao de mtodos de obteno de opinies de
especialistas e concluram que, poca, o Delphi era, de longe, o mais utilizado.
Estes estudos apenas reforam as colocaes feitas por estes outros autores, porm sem uma
comprovao prtica:
Linstone e Turoff (op. cit.) destacam que h preferncia pelo Delphi quando:
Os especialistas que podem ser envolvidos no apresentam um histrico de comunicao

adequada entre si;
Possa ser necessrio envolver uma quantidade de especialistas grande a ponto de

inviabilizar a comunicao presencial;
O tempo e o custo esperados representam restries que podem inviabilizar a realizao

de reunies presenciais com a frequncia necessria;
H a expectativa de que a eficincia do contato presencial possa ser melhorada com o

suporte de um processo estruturado de comunicao;
O histrico de relacionamento entre os especialistas indica haver divergncias de tal

ordem que justifiquem o anonimato e a introduo de um processo de comunicao
arbitrado por terceiros;
A heterogeneidade entre os participantes deva ser preservada, para assegurar a validade

dos resultados, no caso, por exemplo, de poder haver prevalncia de opinies por fora
da personalidade de um ou mais indivduos e/ou vantagem numrica decorrente do
tamanho de um subgrupo.
65
Isaac e Michael (1995) defendem que o Delphi:
Evita que ocorra o chamado efeito "Maria vai com as outras", comum nas interaes
presenciais, quando um lder nato ou de ocasio conduz os demais;
Torna o processo menos vulnervel influncia que pode ser exercida por um indivduo
ou subgrupo dominante, em funo de prestgio ou imposio pela fora;
Reduz a inibio dos especialistas em se expor, em funo de mudanas de opinio.
Rowe e Wright (2001) so mais enfticos ao defender a superioridade do Delphi e, em

adio, relacionam quatro condies que recomendam seu emprego:
Quando o julgamento por parte de especialistas necessrio, porque o emprego de

mtodos estatsticos no apropriado;
Quando h especialistas disponveis;
Quando a opo que se apresenta como alternativa considerar uma mdia de opinies
ou estimativas de vrios indivduos isoladamente;
Quando a opo que se apresenta como alternativa limita-se realizao de um trabalho

convencional em grupo.
Evidentemente, o Delphi no apropriado em todo e qualquer estudo de obteno de opinies

de especialistas. Veltri (1985), citado por Hallowell e Gambatese (op. cit.), destaca este ponto,
afirmando que o Delphi no a melhor escolha quando: (a) no h especialistas disponveis
na quantidade necessria; (b) h especialistas disponveis, porm estes no se dispem ou no
tm possibilidade de participar; (c) o objetivo da pesquisa no obter consenso entre os
especialistas e (d) no h, entre os pesquisadores, ao menos um indivduo dotado de
caractersticas tais que lhe permitam exercer de modo satisfatrio o papel de facilitador.
No caso especfico do presente estudo, dado o carter inovador do tema e as caractersticas
exploratrias da pesquisa, buscava-se empregar um mtodo que possibilitasse rever e refinar
as proposies relativas a barreiras, benefcios e riscos identificadas na pesquisa bibliogrfica,
contando com a colaborao e opinio de profissionais de TI, de modo a incorporar um senso
prtico s consideraes de cunho mais acadmico nelas contidas. Em adio, entendia-se
como importante minimizar a ocorrncia de efeitos indesejados nas interaes, tais como, a
dominao, a limitao das pessoas em se expor para rever e aprimorar opinies e a
dificuldade de relacionamento entre os participantes (que poderia j existir a priori ou se
66
desenvolver durante o trabalho). Tambm se considerava fundamental utilizar um mtodo que

levasse gradativamente obteno da opinio coletiva do grupo (se possvel, chegando a um
consenso) e respeitasse o perodo de tempo e o oramento relativamente limitados disponveis
para a realizao do trabalho, sem introduzir restries logsticas que pudessem agravar o
processo.
Nesse contexto, a escolha preliminar do Delphi pareceu ser a mais adequada. De todo modo,
avaliou-se ainda a realidade da situao luz das condies estabelecidas por Rowe e Wright
(2001), acima citadas, e verificou-se que todas elas estavam presentes. Este fato somente
reforou a escolha, fazendo com que, a partir desse momento, o Delphi passasse a ser
considerado a opo definitiva.
3.5
O Mtodo Delphi Aplicado a Este Estudo
Dadas as caractersticas desta pesquisa, a modalidade ranking form de aplicao do mtodo

Delphi foi considerada a mais adequada. Nesta modalidade, poder-se-ia explorar as questes
das barreiras, benefcios e riscos associados computao em nuvem e estabelecer listas
ordenadas dos elementos mais relevantes de cada grupo, segundo a opinio dos especialistas
participantes do painel.
O painel Delphi foi ento conduzido nesta modalidade e, para tal, foi definida a adoo de
uma sistemtica derivada dos esquemas desenvolvidos por Schmidt (op. cit.), por Skulmoski
et al. (op. cit.) e por Okoli e Pawlowski (op. cit.). Recordando resumidamente o que j foi
citado no tpico 3.3 deste documento:
Schmidt (op. cit.) prope uma sistemtica para a aplicao do Delphi na modalidade
ranking form que consiste de cinco etapas: explorao dos quesitos, determinao dos
quesitos mais relevantes, ordenao dos quesitos, anlise dos resultados e apresentao dos
resultados;
Skulmoski et al. (op. cit.) propem uma sistemtica mais detalhada (vide Figura 12),
composta por 12 etapas e especificamente desenhada para a realizao de um painel Delphi
de trs ciclos; desconsiderando as etapas que se apresentam de maneira repetida de um
ciclo para outro, esta sistemtica contm, na realidade, apenas oito etapas distintas;
67
Okoli e Pawlowski (op. cit.) propem um esquema especfico e bastante detalhado para a
seleo de especialistas para participar de um painel Delphi.
Combinando ento essas trs proposies, definiu-se a sistemtica adotada no painel realizado
para suportar este trabalho de pesquisa, a qual compreende cinco etapas, apresentadas no
Quadro 10 de forma comparativa para com relao aos esquemas utilizados como referncia.
Quadro 10 Comparao Entre Sistemticas de Aplicao do Mtodo Delphi
Sistemtica Adotada
Neste Estudo
Sistemtica Proposta
por Skulmoski et al.
Sistemtica Proposta
por Okoli e Pawlowski
1. Esquematizar
Painel
Desenhar Pesquisa
2. Montar Grupo de
Painelistas
Selecionar Especialistas Preparar Quadro de
Sistemtica Proposta
por Schmidt
Requisitos
Popular Quadro de
Requisitos com Candidatos

Identificar Especialistas
Adicionais
Elaborar Ranking dos
Especialistas
Convidar Especialistas
1
3. Preparar Ciclo N
do Painel
Preparar Ciclo N
4. Realizar Ciclo N
do Painel
Realizar e Analisar
5. Elaborar
Concluses
Documentar e Concluir
Realizar Piloto
Ciclo N
Pesquisa
Explorar Quesitos
Determinar Quesitos
Mais Relevantes
Ordenar Quesitos
Analisar Resultados
Apresentar Resultados
A referncia a um ciclo genrico N uma adaptao proposio original destes autores, que definem etapas distintas
para cada um dos ciclos (vide Figura 12).
Em detalhe, as etapas da sistemtica adotada no presente estudo compreendem:
Etapa 1 Esquematizar Painel:
Engloba a esquematizao geral do painel, com a pr-definio da quantidade de ciclos e

dos temas a serem explorados em cada ciclo e ainda com o esboo de cada um dos
questionrios a serem aplicados;
Esta etapa no encontra uma correspondente plena em nenhum dos esquemas utilizados
como referncia, mas imprescindvel de ser executada neste nvel de detalhe, pois
estabelece a estrutura a ser adotada no painel.
68
Etapa 2 Montar Grupo de Painelistas:
A montagem do grupo compreende a identificao dos participantes em potencial, a

seleo daqueles a serem convidados, o convite propriamente dito e as rodadas de
negociao para a participao, estas ltimas envolvendo agendas, disponibilidades,
impedimentos e demais aspectos logsticos;
A identificao e seleo dos participantes em potencial devem levar em conta uma srie
de fatores de qualificao ou requisitos, entre os quais a vivncia no tema da pesquisa, a
bagagem acadmica (quando aplicvel) e o interesse em participar;
Esta etapa segue um roteiro derivado do esquema proposto por Okoli e Pawlowski (op.
cit.), com as devidas adaptaes que estes prprios autores recomendam para cada painel
em particular;
Adicionalmente, ainda nesta etapa que definido o nmero de participantes do painel,

para o que no h uma regra nica universalmente aceita; as referncias bibliogrficas
citadas e os exemplos apresentados nos tpicos 3.2 e 3.3 deste documento conduzem ao
demonstrativo apresentado no Quadro 11, no qual se observa a ampla variao na
quantidade de painelistas utilizados:
Quadro 11 Dimensionamento de Painis Delphi
Mnimo
Mximo
ou nico
Intervalo de
Concentrao
Autor
Natureza
Ana Beatriz Poli Veronezi
Dissertao
39
Ariane Fazzolo Scarparo
Dissertao
54
Celso Huerta Gimenes
Dissertao
99
Cesar Hidetoshi Enoki
Dissertao
21
Janana Anchieta Costa
Dissertao
11
Luana Torelli da Silva
Dissertao
21
Manuela Modesto Dantas
Dissertao
21
Marcia Galan Perroca
Dissertao
15
Milton Satocy Nakano
Dissertao
72
Alberto de Medeiros Jr.
Tese
27
Angelo Just da Costa e Silva
Tese
34
Carlos Roberto dos Santos
Tese
10
Cleuza Catsue Takeda Kuwabara
Tese
134
Eline Lima Borges
Tese
65
Emanoel Marcos Lima
Tese
14
69
Quadro 11 Dimensionamento de Painis Delphi (cont.)
Mnimo
Mximo
ou nico
Intervalo de
Concentrao
Autor
Natureza
Jacqueline Veneroso Alves da Cunha
Tese
15
Liliane Parreira Tanns Gontijo
Tese
20
Marcos Augusto Rocha
Tese
13
Maria Alice Morato Ribeiro
Tese
122
Maria Luiza de Moraes Leonel Padilha
Tese
45
Regina Rigatto Witt
Tese
52
Ricardo Luis Wust Corra de Lyra
Tese
19
Simone Silva da Cunha Vieira
Tese
12
Okoli e Pawlowski (op. cit.)
Recomendao
10
18
Rowe e Wright (2001)
Recomendao
20
Rowe e Wright (1999)
Artigos
98
11
Skulmoski et al. (op. cit.)
Artigos
171
21
Skulmoski et al. (op. cit.)
Teses
345
11
37
Tomando por base os nmeros constantes do Quadro 11 e analisando cada um dos

exemplos citados, observa-se que, considerado um intervalo de concentrao entre
quatro e 37 (que o intervalo mais amplo, dados os limites mnimo e mximo
verificados para o conjunto de intervalos indicados nas ltimas trs linhas do quadro), a
maioria dos painis utilizou uma quantidade de participantes que se enquadra entre estes
limites.
Etapa 3 Preparar Ciclo N do Painel:
Corresponde ao preparo do questionrio relativo a cada um dos ciclos do painel;
Skulmoski et al. (op. cit.) destacam que o questionrio a ser utilizado no primeiro ciclo
pode ser composto por questes ou abertas ou estruturadas; as questes abertas so
aquelas que solicitam aos painelistas expor sua opinio sem lhes oferecer nenhum tipo
de referncia explcita, enquanto que as questes estruturadas j oferecem um ponto de
partida aos painelistas, que so solicitados a trabalhar a partir deste;
Por exemplo, uma questo aberta do tipo: "cite, na sua opinio, os principais benefcios
que podem ser obtidos com a aquisio de servios de computao em nuvem", ao passo
que uma questo estruturada relativa ao mesmo tema poderia ser: "a literatura menciona
que a reduo dos investimentos iniciais, a escalabilidade dinmica e a menor
70
mobilizao de recursos de pessoal e infra-estrutura so alguns dos principais benefcios

que podem ser obtidos com a aquisio de servios de computao em nuvem; voc
discorda de algum item desta lista e/ou acrescentaria algum outro benefcio a ela?";
As questes abertas tendem a ampliar o escopo da discusso, pois permitem aos

painelistas elaborar as respostas sem se prender a um referencial direcionador, ao passo
que as questes estruturadas, quanto mais referncias oferecem, tendem a limitar o
escopo da discusso, condicionando os painelistas a seguir a linha de raciocnio proposta
pelo pesquisador;
Os questionrios a serem utilizados nos demais ciclos do painel, alm do primeiro ciclo,
possuem, caracteristicamente, questes fechadas, pois estas focam no tratamento de
quesitos j introduzidos em algum ciclo anterior.
Etapa 4 Realizar Ciclo N do Painel:
Corresponde ao encaminhamento do questionrio relativo a cada um dos ciclos aos

painelistas, ao acompanhamento e cobrana das respostas e posterior tabulao e
anlise dessas respostas; como se trata de um painel do tipo ranking, as respostas dos
painelistas so voltadas, essencialmente, proposio e ordenao de listas e as
indicaes individuais so consolidadas, de modo a se obter opinies coletivas, cujo grau
de concordncia, no caso das ordenaes, verificado;
De posse das respostas s questes que envolvem proposio, a consolidao visa obter
os elementos distintos coletivamente propostos, representativos, portanto, da opinio do
grupo de painelistas sobre um dado tema; para tal, desprezam-se as eventuais indicaes
de elementos repetidos (os que possuem definies semelhantes) e tomam-se todas as
indicaes distintas assim identificadas para compor listas de proposies;
No que se refere s respostas s questes que envolvem ordenao, para obter os

elementos coletivamente mais indicados, representativos, ainda uma vez, da opinio do
grupo de painelistas sobre um dado tema, aplica-se o mtodo de ordenao coletiva
escolhido, que, neste caso, o mtodo proposto por Kendall e Smith (op. cit.), com a
variante destinada a equacionar a questo dos empates recomendada por Kendall (1945);
Em linhas gerais, este mtodo de ordenao coletiva prope que, de incio, a cada
elemento presente numa lista ordenada individual, se atribua um peso correspondente
sua posio na lista, ou seja, para o elemento colocado na posio 1, o peso deve ser 1,
para o elemento colocado na posio 2, o peso deve ser 2 e assim por diante; estes pesos
71
devem ser atribudos s listas de cada ordenador e a soma dos pesos de um elemento
passa a representar sua posio na lista coletiva, de tal modo que o elemento com menor
soma ocupa a posio 1, o elemento com a segunda menor soma ocupa a posio 2 e
assim sucessivamente;
Nos ciclos em que as listas no so efetivamente ordenadas pelos painelistas, mas apenas
so indicados os Z elementos mais relevantes, a cada um destes o mtodo recomendaria
ser atribudo o peso 1 e, aos demais no selecionados, o peso Z+1, caracterizando
empates tanto entre os selecionados quanto entre os no selecionados; nesta situao,
Kendall (op. cit.) prope que os pesos dos elementos empatados sejam substitudos pela
mdia aritmtica das posies por eles ocupadas;
Depois de obtida a ordenao coletiva, o grau de concordncia entre os painelistas

verificado, por meio do clculo da estatstica W (denominada coeficiente de
concordncia), conforme proposto por Kendall (op. cit.); a interpretao do grau de
concordncia feita empregando as faixas sugeridas por Schmidt (op. cit.):
Faixas para o Grau de Concordncia
Significado
At 0,1
Muito baixo
Acima de 0,1 e at 0,3
Baixo
Moderado
Alto
Muito alto
A significncia de W tambm verificada, aplicando-se um teste de 2 , seguindo a

orientao de Friedman (1940).
Etapa 5 Elaborar Concluses:
Compreende o preparo das concluses finais, baseadas nos resultados obtidos com a
realizao de todos os ciclos do painel;
Neste estudo, as concluses finais versam sobre a viso dos painelistas relativamente aos
riscos, benefcios e barreiras potenciais associados aos ambientes de computao em
nuvem no privada.
72
73
REALIZAO DO PAINEL DELPHI
Para complementar o cumprimento do quarto e ltimo objetivo secundrio desta pesquisa,

qual seja, o de explorar e verificar a pertinncia e adequao dos benefcios apontados e das
proposies relativas s barreiras e aos riscos associados computao em nuvem, e uma vez
tendo sido selecionado o mtodo de pesquisa para tal e definida uma sistemtica para sua
aplicao, na sequncia, realizou-se efetivamente a aplicao.
Neste captulo , ento, detalhado o processo de realizao do painel Delphi, que foi
conduzido entre fevereiro e junho de 2011, seguindo a sistemtica definida no tpico 3.5.
4.1
Esquematizao do Painel
Depois de analisar diversas opes para composio dos questionrios e estruturao dos
ciclos do painel, chegou-se definio de, no mnimo, seis ciclos, com os escopos
apresentados na Figura 14.
Figura 14 Ciclos de Aplicao do Mtodo Delphi Neste Estudo
Ciclo 0:
Mapeamento
de Perfil
Ciclo 1:
Barreiras e
Benefcios
Ciclo 2:
Barreiras e
Benefcios Mais
Relevantes e Riscos
Ciclo 3:
Ranking de Barreiras
e Benefcios e Riscos
Mais Relevantes
Ciclo 4:
Ranking de Riscos
e Reviso dos
Rankings Anteriores
Ciclo 5:
Reviso de Todos
os Rankings
O Ciclo 0 seria um ciclo preliminar, destinado a mapear o perfil dos profissionais de TI

participantes do painel. O Ciclo 1 seria efetivamente o primeiro voltado explorao do tema
da pesquisa e captura das indicaes de barreiras e benefcios da computao em nuvem. O
74
Ciclo 2 aprofundaria a investigao, iniciando a composio dos rankings de barreiras e

benefcios e colhendo indicaes relativas aos riscos inerentes computao em nuvem. O
Ciclo 3 complementaria a definio dos rankings de barreiras e benefcios e iniciaria a
composio do ranking de riscos. O Ciclo 4 complementaria a definio do ranking de riscos
e promoveria a reviso dos rankings de barreiras e benefcios, visando aprimorar o grau de
concordncia entre os participantes. O Ciclo 5, tambm com foco no aprimoramento do grau
de concordncia, revisaria o ranking de riscos e promoveria, se necessrio, uma nova reviso
dos rankings de barreiras e benefcios, podendo encerrar a aplicao do painel Delphi.
Se, aps a realizao do Ciclo 5, algum grau de concordncia ainda se mantivesse dentro de
uma faixa muito baixa, dentre as recomendadas por Schmidt (op. cit.), seriam acrescentados
ao painel novos ciclos semelhantes a este, at se obter graus de concordncia satisfatrios ou
concluir pela impossibilidade de melhorar a concordncia entre os painelistas relativamente
aos temas em questo.
4.2
Montagem do Grupo de Painelistas
Optou-se pela realizao de um painel com a participao de um grupo nico de especialistas,

porm reunindo acadmicos e profissionais de TI. Esta composio tem a vantagem de poder
dotar o grupo de uma viso ampla sobre o tema, mesclando experincia e conhecimentos
prticos com um toque de enfoque acadmico. Okoli e Pawlowski (op. cit.) deixam antever
esta possibilidade, citando alguns estudos em que o grupo de especialistas foi constitudo
desta forma: Czinkota e Ronkainen (1997), Viehland e Hughes (2002), Holsapple e Joshi
(2002).
Com esta composio mista, uma maior participao de gestores de TI pareceu ser mais
conveniente, pois eles que representariam os interessados diretos nas recomendaes finais
do trabalho; isto posto, uma proporo que se afigurou satisfatria foi algo da ordem de
quatro a cinco gestores de TI para cada acadmico.
Para selecionar os especialistas candidatos a participar do painel, foi estabelecido um elenco
de fatores de qualificao, a saber:
75
Conhecimento avanado sobre computao em nuvem;
Reconhecida competncia no respectivo mercado de trabalho;
Interesse efetivo em participar de um estudo desta natureza;
Disponibilidade concreta de tempo para participar dos trabalhos na intensidade prevista, ou

seja, cinco ciclos com dedicao estimada de uma hora para responder a cada questionrio;
Para os profissionais de TI, o exerccio de um cargo executivo de alto nvel nas empresas
em que atuavam.
Tomadas estas decises, deu-se incio elaborao de uma lista de potenciais participantes,
reunindo nomes de pessoas do crculo de conhecimento do pesquisador. Esta lista acabou
composta por 22 pessoas, as quais foram contatadas por e-mail ou telefone e receberam um
convite para participar do painel.
Paralelamente, foram identificados profissionais do meio acadmico com envolvimento direto
e efetivo com a TI, dentre os quais foram escolhidos trs professores-doutores, aos quais
tambm foi feito o convite.
O convite foi aceito pelos trs acadmicos e por 13 profissionais de TI, estabelecendo-se
ento um grupo de 16 painelistas, com tamanho e proporo relativa (um acadmico para cada
4,3 profissionais de TI) considerados ambos satisfatrios.
4.3
Realizao do Ciclo 0 do Painel
Este ciclo abrangeu o preparo e envio de um questionrio destinado ao mapeamento do perfil

dos profissionais de TI participantes do painel e a subsequente tabulao das respostas
recebidas.
O questionrio deste ciclo foi composto por dez perguntas, com a ltima delas objetivando
colher eventuais comentrios gerais dos painelistas e as nove iniciais destinadas ao
mapeamento do perfil, investigando desde os ttulos dos cargos ocupados at as publicaes
costumeiramente lidas, passando ainda pela qualificao da natureza e porte das empresas nas
76
quais os painelistas atuavam. O texto na ntegra das perguntas que compuseram este
questionrio est apresentado no Apndice 2.
Este questionrio foi enviado apenas aos 13 profissionais de TI, tendo sido respondido por
todos eles. O perfil dos acadmicos foi obtido por meio de contato direto por e-mail. Um
resumo das respostas obtidas, tanto aos questionrios quanto aos e-mails, est apresentado no
Apndice 3.
4.4
Este ciclo abrangeu o preparo e envio do primeiro questionrio destinado a abordar

efetivamente o tema da pesquisa e a posterior tabulao das respostas recebidas. Nesta
pesquisa, optou-se por compor este questionrio apenas com questes abertas, de modo a
captar ao mximo a vivncia e a experincia pregressas dos painelistas sobre o tema.
Este questionrio compreendeu oito perguntas, sendo a ltima delas, da mesma forma que no
anterior, destinada ao registro de eventuais comentrios. As sete questes iniciais objetivaram
colher a opinio dos painelistas acerca das barreiras que podem inibir a contratao de
servios de computao em nuvem no privada e dos benefcios que podem ser obtidos com
esta modalidade de contratao. O texto na ntegra das perguntas que compuseram este
questionrio est tambm apresentado no Apndice 2.
Este questionrio foi enviado aos 16 painelistas, tendo sido respondido pelos trs acadmicos
e por apenas 11 dentre os 13 profissionais de TI.
No que diz respeito s barreiras potenciais, a compilao e interpretao das indicaes feitas
pelos painelistas levou obteno de uma lista com 16 barreiras distintas, cuja relao est
apresentada no Quadro 12.
J no que tange aos benefcios potenciais, a compilao e interpretao das indicaes feitas
pelos painelistas levou obteno de uma lista com 12 benefcios distintos, os quais esto
relacionados no Quadro 13.
77
Quadro 12 Barreiras Potenciais Adoo da Computao em
Nuvem No Privada Indicadas pelos Painelistas
No.
Enunciado
B1
Maturidade ainda no comprovada do modelo de servios e governana, por ser muito novo
B2
Riscos inerentes ao modelo de servios, muitos dos quais ainda desconhecidos e que podem no
ser adequadamente esclarecidos pelo fornecedor
B3
Oferta de servios ainda limitada
B4
Custo elevado dos servios ofertados
B5
Dvidas quanto segurana que possa vir a ser oferecida pelo fornecedor
B6
Dvidas quanto capacidade do fornecedor em garantir disponibilidade e dispor de recursos para

atender a contingncias
B7
Dvidas quanto qualidade dos recursos de infra-estrutura e rede de comunicaes adotados pelo
fornecedor
B8
Dvidas quanto capacidade do fornecedor em realizar em tempo hbil a implantao e expanso

dos servios contratados
B9
Dvidas quanto capacidade do fornecedor em atender a urgncias
B10
Dvidas quanto capacidade e agilidade do fornecedor em prover suporte
B11
Dvidas quanto capacidade do fornecedor em negociar satisfatoriamente e atender a SLA's
B12
Dvidas quanto ao tratamento a ser recebido de parte do fornecedor, face eventual baixa
representatividade dos servios contratados
B13
Receio quanto comunicao com um fornecedor estrangeiro, por conta de dificuldades com o
idioma
B14
Falta de cultura por parte do comprador
B15
Investimentos recentes realizados pelo comprador em infra-estrutura prpria
B16
Dvidas quanto viabilidade da terceirizao de determinados servios, em funo de criticidade

dos negcios e necessidade de controle
Quadro 13 Benefcios Potenciais Decorrentes da Adoo da Computao em

Nuvem No Privada Indicados pelos Painelistas
No.
Enunciado
V1
Permite concentrar o foco de TI nos negcios e em processos core
V2
Propicia maior simplicidade e menor esforo para gerir os ativos alocados a TI
V3
Reduz ou elimina a necessidade de lidar com planejamento de capacidade e outros processos

associados a ativos prprios
V4
Gera oportunidade para aprimoramento tecnolgico e absoro de novos conhecimentos
V5
Demanda investimentos iniciais menores para se dispor do mesmo nvel de recursos e tecnologia
V6
Viabiliza a implantao mais rpida de novos servios e aplicativos
V7
Confere maior grau de disponibilidade aos servios
V8
Oferece escalabilidade, proporcionando flexibilidade para crescer e lidar com situaes de pico e
sazonalidade
V9
Propicia portabilidade aos servios, viabilizando trocas de fornecedores
78
Quadro 13 Benefcios Potenciais Decorrentes da Adoo da Computao em
Nuvem No Privada Indicados pelos Painelistas (cont.)
No.
Enunciado
V10
Possibilita reduo global de investimentos e de gastos com custeio de TI
V11
Permite substituir investimentos em ativos (CAPEX) por despesas (OPEX), gerando benefcios
fiscais
V12
Aumenta o nvel global de segurana em TI, desde que cumpridos os SLA's pelos fornecedores
4.5
Este ciclo abrangeu o preparo e envio do segundo questionrio efetivamente relacionado ao

tema da pesquisa e a posterior tabulao e anlise das respostas obtidas.
Este questionrio foi composto por cinco perguntas, sendo a ltima delas, uma vez mais,
destinada a colher comentrios dos painelistas. As duas primeiras questes direcionaram os
painelistas a indicar as dez barreiras e os dez benefcios mais relevantes, dentre os presentes
na consolidao das respostas dadas s questes do ciclo anterior. As duas questes
remanescentes destinaram-se a colher a opinio dos painelistas acerca dos riscos inerentes
contratao de servios de computao em nuvem no privada. O texto na ntegra das
perguntas que compuseram este questionrio est igualmente apresentado no Apndice 2.
Este questionrio foi enviado aos 14 painelistas remanescentes, tendo sido excludos aqueles
que no enviaram suas respostas na rodada anterior. Foram recebidas respostas dos trs
acadmicos e de nove profissionais de TI.
4.5.1
Preparo da Questo Relativa s Barreiras
No caso das barreiras adoo da computao em nuvem, foi feito um confronto, antes da
elaborao da lista a ser inserida neste questionrio, entre as 16 barreiras relacionadas no
Quadro 12 e as nove consolidadas no Quadro 5, estas ltimas extradas de estudos
acadmicos. Este confronto levou concluso de que as barreiras indicadas pelos painelistas
constituam-se num conjunto mais amplo, englobando na ntegra o contedo obtido das
referncias bibliogrficas (feitas as adequadas interpretaes das definies) e acrescentando
consideraes no abordadas na literatura consultada, caso especfico das seguintes barreiras:
79
B3 Oferta de servios ainda limitada;
B4 Custo elevado dos servios ofertados;
B9 Dvidas quanto capacidade do fornecedor em atender a urgncias;
B10 Dvidas quanto capacidade e agilidade do fornecedor em prover suporte;
B12 Dvidas quanto ao tratamento a ser recebido de parte do fornecedor, face eventual
baixa representatividade dos servios contratados;
B13 Receio quanto comunicao com um fornecedor estrangeiro, por conta de

dificuldades com o idioma;
B15 Investimentos recentes realizados pelo comprador em infra-estrutura prpria;
B16 Dvidas quanto viabilidade da terceirizao de determinados servios, em funo

de criticidade dos negcios e necessidade de controle.
4.5.2
Preparo da Questo Relativa aos Benefcios
No caso dos benefcios, antes da elaborao da lista a ser inserida neste questionrio, foi
igualmente feito um confronto, desta vez entre os 12 benefcios relacionados no Quadro 13 e
os nove consolidados no Quadro 4, estes ltimos apontados em estudos acadmicos. Este
confronto permitiu concluir que os benefcios citados pelos painelistas coincidiam com parte
dos extrados das referncias bibliogrficas (feitas as adequadas interpretaes das definies)
e identificar dois benefcios relevantes no indicados pelos painelistas, quais sejam: o acesso a
inovaes e a menor mobilizao de recursos destinados a TI. Estes dois benefcios foram
ento numerados, respectivamente, como V13 e V14 e acrescentados lista dos indicados, de
modo a compor a questo especfica sobre este tema neste questionrio.
4.5.3
Respostas Relativas s Barreiras e Benefcios
Apesar de solicitados a indicar dez barreiras e dez benefcios, nem todos os painelistas o
fizeram, tendo sido indicados apenas nove, oito e at mesmo sete elementos em alguns casos.
De todo modo, de posse das respostas, foram elaboradas duas listas consolidadas, uma com as
barreiras e outra com os benefcios, cada uma delas com os dez elementos mais indicados de
cada tipo, representativos, portanto, da opinio coletiva do grupo de painelistas. Para obter os
80
elementos coletivamente mais indicados em cada lista, foi aplicado o mtodo de ordenao
escolhido, j mencionado no tpico 3.5, isto , o mtodo proposto por Kendall e Smith (op.
cit.), com a variante destinada a equacionar a questo dos empates recomendada por Kendall
(op. cit.).
Dado que, neste ciclo, as listas no esto ordenadas pelos painelistas, mas apenas esto
indicados os dez elementos mais relevantes, a cada um deles o mtodo recomenda ser
atribudo o peso 1 e, aos demais no selecionados, o peso 11, caracterizando empates tanto
entre os selecionados quanto entre os no selecionados. Para eliminar os empates, a variante
do mtodo prope substituir os pesos iguais pela mdia aritmtica das posies por eles
ocupadas. Neste caso, como os empates entre os dez elementos indicados se do nas posies
de 1 a 10, os pesos destes elementos so substitudos por 5,5, valor que corresponde mdia
da soma dos valores de 1 a 10; para os elementos no indicados dentre as barreiras (cujas
posies vo de 11 a 16), o peso mdio 13,5 e, dentre os benefcios (cujas posies vo de
11 a 14), o peso mdio 12,5. Para as listas individuais cujas indicaes contemplam menos
que dez elementos, os pesos atribudos aos itens empatados so diferentes destes, pois as
mdias so outras.
Os pesos atribudos aos elementos de todas as listas individuais elaboradas pelos painelistas
esto apresentados na Tabela 1 para as barreiras e na Tabela 2 para os benefcios. Em adio,
essas tabelas contm os resultados dos clculos efetuados para a obteno das listas ordenadas
coletivas; as frmulas de clculo envolvidas, bem como o significado das variveis constantes
das Tabelas 1 e 2, esto apresentados no Apndice 4.
Tabela 1 Barreiras Mais Relevantes (Opinio dos Painelistas)

Painelistas
B1
B2
B3
A
4,5
4,5
12,5
B
5,5
5,5
5,5
C
5
5
5
D
4,5
4,5
12,5
E
5,5
5,5
13,5
F
5,5
5,5
5,5
G
5,5
13,5
5,5
H
5,5
5,5
5,5
I
5,5
5,5
5,5
J
12
12
4
K
13
5
5
L
12,5
12,5
12,5
R = ranks 84,5
84,5
92,5
X=R
-17,5 -17,5
-9,5
Y = X^2
306,25 306,25 90,25
Barreiras
B4
B5
B6
B7
B8
B9
B10
B11
B12
B13
B14
B15
12,5
4,5
4,5
12,5
12,5
4,5
12,5
4,5
12,5
12,5
4,5
12,5
5,5
5,5
5,5
5,5
13,5
5,5
13,5
5,5
13,5
13,5
13,5
5,5
13
5
5
13
13
13
13
13
13
5
5
5
12,5
4,5
12,5
12,5
12,5
4,5
4,5
4,5
12,5
12,5
4,5
4,5
13,5
5,5
5,5
5,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
5,5
13,5
5,5
5,5
13,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
5,5
5,5
5,5
5,5
13,5
5,5
5,5
5,5
5,5
13,5
5,5
13,5
13,5
13,5
5,5
5,5
13,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
5,5
13,5
5,5
5,5
5,5
13,5
5,5
5,5
5,5
13,5
13,5
13,5
13,5
12
4
12
12
12
4
4
4
4
12
12
12
13
5
5
5
13
13
13
13
5
13
5
5
12,5
4,5
4,5
4,5
4,5
4,5
4,5
4,5
4,5
12,5
12,5
12,5
140,5
60,5
76,5 116,5 140,5
76,5
92,5
76,5 132,5 140,5 124,5 100,5
38,5
-41,5 -25,5
14,5
38,5
-25,5
-9,5
-25,5
30,5
38,5
22,5
-1,5
1482,3 1722,3 650,25 210,25 1482,3 650,25 90,25 650,25 930,25 1482,3 506,25 2,25
=
n = 16
102,0
W = 0,299
m = 12
S = 10652,0
2 = 53,907
B16
4,5
13,5
5
12,5
5,5
5,5
13,5
5,5
5,5
4
5
12,5
92,5
-9,5
90,25
Efeito dos Empates

t1
t2
T
8
8
84
10
6
100
9
7
88
8
8
84
10
6
100
10
6
100
10
6
100
10
6
100
10
6
100
7
9
88
9
7
88
8
8
84
T = 1116
81
Tabela 2 Benefcios Mais Relevantes (Opinio dos Painelistas)
Benefcios
V1
V2
V3
V4
V5
V6
V7
V8
V9
V10
V11
V12
A
11,5
4,5
4,5
11,5
4,5
4,5
11,5
4,5
4,5
11,5
4,5
11,5
B
5,5
5,5
5,5
5,5
5,5
12,5
5,5
5,5
12,5
5,5
5,5
12,5
C
12,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
5,5
5,5
5,5
12,5
D
4
11
11
11
4
4
11
4
11
11
4
11
E
5,5
5,5
5,5
12,5
5,5
5,5
12,5
5,5
12,5
5,5
5,5
12,5
F
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
12,5
G
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
5,5
H
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
12,5
I
5,5
12,5
5,5
5,5
5,5
5,5
12,5
5,5
12,5
5,5
5,5
12,5
J
5,5
5,5
12,5
5,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
12,5
K
5,5
5,5
5,5
12,5
5,5
5,5
5,5
5,5
12,5
12,5
5,5
5,5
L
5
5
5
12
5
5
12
5
12
12
12
5
R = ranks
77
77
77
126
63
70
98
63
133
119
70
126
X =R
-13,0 -13,0 -13,0
36,0
-27,0 -20,0
8,0
-27,0
43,0
29,0
-20,0
36,0
Y = X^2
169,00 169,00 169,00 1296,00 729,00 400,00 64,00 729,00 1849,00 841,00 400,00 1296,00
=
n = 14
90,0
W = 0,404
m = 12
S = 8512,0
2 = 62,980
Painelistas
V13
11,5
12,5
12,5
4
5,5
5,5
12,5
5,5
5,5
5,5
5,5
5
91
1,0
1,00
V14
4,5
5,5
5,5
4
5,5
5,5
5,5
5,5
5,5
5,5
12,5
5
70
-20,0
400,00
Efeito dos Empates

t1
t2
T
8
6
60
10
4
88
10
4
88
7
7
56
10
4
88
10
4
88
10
4
88
10
4
88
10
4
88
10
4
88
10
4
88
9
5
70
T = 973
Os clculos indicaram, face aos valores obtidos para o coeficiente de concordncia W (0,299
para as barreiras e 0,404 para os benefcios), que havia grau de concordncia baixo entre os
painelistas no caso das barreiras e grau moderado no caso dos benefcios, adotadas as faixas
sugeridas por Schmidt (op. cit.). Ambos os testes de 2 mostraram que W tinha significncia
em nvel p = 0,00001.
Ressalte-se que estas listas coletivas ainda no representavam rankings, pois, neste ciclo, os
painelistas apenas fizeram a escolha das barreiras e benefcios mais relevantes, sem, contudo,
promover qualquer ordenao. Portanto, este ciclo permitiu somente que fossem eliminadas
seis barreiras e quatro benefcios considerados menos relevantes pelo grupo de painelistas.
Essas barreiras e benefcios eliminados esto com seus respectivos pesos, nas listas coletivas
das Tabelas 1 e 2, marcados com um fundo de cor cinza.
4.5.4
Respostas Relativas aos Riscos
No que diz respeito aos riscos, objeto das duas ltimas perguntas deste questionrio, a
compilao e interpretao das indicaes feitas pelos painelistas levou obteno de uma
lista compreendendo 15 riscos distintos, cuja relao, com as respectivas descries j
ajustadas, est apresentada no Quadro 14.
82
Quadro 14 Riscos Potenciais Decorrentes da Adoo da Computao
em Nuvem No Privada Indicados pelos Painelistas
4.6
No.
Enunciado
R1
Falta de privacidade: baixo grau de confidencialidade e deficincias de isolamento no ambiente da

nuvem, possibilitando acessos indevidos e/ou adulterao de dados e/ou aplicativos de
consumidores
R2
Erros: falhas que implicam na necessidade de reprocessar rotinas e/ou recuperar dados
R3
Suporte inadequado: falhas de natureza diversa no servio de suporte, tais como pessoal mal
preparado, gargalos no atendimento, indisponibilidade do servio etc.
R4
Baixo desempenho: desempenho insatisfatrio dos servios contratados (devido a picos de

demanda, balanceamento inadequado, subdimensionamento dos recursos, alta latncia de rede e
outros fatores assemelhados), levando ao descumprimento dos SLA's
R5
Dificuldade para escalar: demora excessiva ou dificuldades do provedor para provisionar e/ou
liberar recursos da nuvem
R6
Indisponibilidade: interrupo temporria dos servios em decorrncia de problemas tcnicos ou

de ordem diversa de parte do provedor
R7
No-continuidade: interrupo definitiva da prestao dos servios pelo provedor
R8
Aprisionamento: dificuldade significativa ou, no limite, impossibilidade de trocar de provedor,

devido a particularidades do ambiente e/ou aspectos contratuais
R9
Baixa interoperabilidade: dificuldade significativa ou, no limite, impossibilidade de intercambiar

dados e/ou aplicativos entre distintos provedores
R10
Governana inadequada: modelo de governana adotado pelo provedor possui lacunas e/ou pontos
falhos e no atende s necessidades impostas pelos contratos acordados com seus clientes
R11
Incapacidade: baixa capacidade e/ou inexperincia do provedor para prestar servios da natureza
dos ofertados em ambientes de computao em nuvem
R12
Imaturidade do modelo: baixa maturidade do modelo de prestao de servios em nuvem por ser
muito recente, podendo gerar exposio indevida para os gestores de TI dos clientes
R13
Mentalidade invariante: dificuldade do provedor em adotar uma postura distinta frente s

necessidades e demandas por servios de diferentes graus de relevncia para os consumidores (por
exemplo, servios de agenda e correio eletrnico versus ERP)
R14
Dificuldade para integrar: dificuldade significativa ou, no limite, impossibilidade de integrar

diferentes aplicativos de um mesmo ou de distintos fornecedores
R15
Falta de visibilidade: baixa visibilidade ou, no limite, ausncia total de visibilidade acerca dos
ativos e recursos disponibilizados pelo provedor
Este ciclo abrangeu o preparo e envio do terceiro questionrio relacionado ao tema da

pesquisa e a posterior tabulao e anlise das respostas obtidas.
O questionrio deste ciclo foi composto por quatro perguntas, ainda uma vez finalizando com
uma questo destinada a colher comentrios dos painelistas. As duas primeiras questes
83
direcionaram os painelistas a propor um ranking de barreiras e um de benefcios, a partir das

indicaes mais frequentes presentes na consolidao das respostas dadas s questes 1 e 2 do
ciclo anterior. A terceira questo direcionou os painelistas a indicar os 12 riscos mais
relevantes, dentre os presentes na consolidao das respostas dadas s questes 3 e 4 do ciclo
anterior. O texto na ntegra das perguntas que compuseram este questionrio est apresentado
no Apndice 2.
Este questionrio foi enviado aos 12 painelistas remanescentes, tendo sido excludos aqueles
que no enviaram suas respostas na rodada anterior. Foram recebidas respostas dos trs
acadmicos e de oito profissionais de TI, perfazendo um total de 11.
4.6.1
Preparo da Questo Relativa aos Riscos
Antes da elaborao da lista de riscos a ser inserida neste questionrio, foi feito um confronto
entre os 15 riscos relacionados no Quadro 14 e aqueles constantes do Quadro 8, resultantes da
consolidao mencionada no tpico 2.2.5 deste documento. Este confronto permitiu concluir
que todos os riscos citados pelos painelistas coincidiam com parte dos extrados das
referncias bibliogrficas (feitas as adequadas interpretaes das definies) e identificar
cinco riscos relevantes no indicados pelos painelistas, quais sejam: (a) no-conformidade, (b)
licenciamento de software, (c) m reputao do provedor, (d) deficincia de integridade e (e)
vulnerabilidade a ataques por saturao. Estes riscos foram numerados, respectivamente,
como R16 a R20 e acrescentados lista dos indicados, de modo a compor a questo
especfica sobre este tema neste questionrio.
4.6.2
Apesar de solicitados a indicar 12 riscos, nem todos os painelistas o fizeram, tendo sido
indicados apenas 11 e dez elementos em alguns casos.
De todo modo, de posse das respostas, foi elaborada uma lista consolidada com os 12 riscos
mais indicados, representativos, portanto, da opinio coletiva do grupo de painelistas. Para
obter estes 12 riscos, foi aplicado, uma vez mais, o mtodo de ordenao escolhido, proposto
por Kendall e Smith (op. cit.), com a variante destinada a equacionar a questo dos empates
recomendada por Kendall (op. cit.).
84
Dado que neste ciclo a lista tambm no est ordenada pelos painelistas, mas apenas esto
indicados os 12 riscos mais relevantes, a cada um deles o mtodo recomenda ser atribudo o
peso 1 e, aos demais no selecionados, o peso 13, caracterizando empates tanto entre os
selecionados quanto entre os no selecionados. Para eliminar os empates, a variante do
mtodo prope substituir os pesos iguais pela mdia aritmtica das posies por eles
ocupadas. Neste caso, como os empates entre os 12 elementos indicados se do nas posies
de 1 a 12, os pesos destes elementos so substitudos por 6,5, valor que corresponde mdia
da soma dos valores de 1 a 12; para os elementos no indicados, cujas posies vo de 13 a
20, o peso mdio 16,5. Para as listas individuais cujas indicaes contemplam apenas 11 ou
dez elementos, os pesos atribudos aos itens empatados so diferentes destes, pois as mdias
so outras.
Os pesos atribudos aos elementos de todas as listas individuais elaboradas pelos painelistas
esto apresentados na Tabela 3, a qual, adicionalmente, contm os resultados dos clculos
efetuados para a obteno da lista ordenada coletiva. As frmulas de clculo envolvidas, bem
como o significado das variveis constantes desta tabela, constam, conforme j mencionado,
do Apndice 4.
Tabela 3 Riscos Mais Relevantes (Opinio dos Painelistas)
Painelistas
R1
R2
R3
R4
R5
R6
A
16,5
6,5
6,5
6,5
6,5
6,5
B
6,5
16,5 16,5
6,5
6,5
6,5
C
16,5
6,5
6,5
16,5
6,5
16,5
D
16,5
6,5
6,5
6,5
6,5
6,5
E
5,5
15,5
5,5
5,5
5,5
5,5
F
6,5
6,5
6,5
16,5 16,5 16,5
G
6
16
16
6
16
6
H
6,5
16,5 16,5
6,5
6,5
6,5
I
16,5 16,5
6,5
6,5
16,5
6,5
J
6
16
16
6
16
6
K
16
6
6
6
16
16
R = ranks 119
129
109
89
119
99
X =R
3,5
13,5 -6,5 -26,5 3,5 -16,5
Y = X^2
12,25 182,25 42,25 702,25 12,25 272,25
R7
R8
6,5
6,5
6,5
6,5
16,5
6,5
16,5 16,5
5,5
5,5
16,5 16,5
16
6
6,5
6,5
6,5
6,5
6
16
6
6
109
99
-6,5 -16,5
42,25 272,25
n=
m=
Riscos
R9
R10
R11
6,5
16,5 16,5
16,5 16,5
6,5
6,5
6,5
6,5
6,5
16,5
6,5
15,5
5,5
5,5
6,5
16,5 16,5
16
6
6
16,5
6,5
16,5
6,5
16,5
6,5
6
6
6
6
16
16
109
129
109
-6,5 13,5 -6,5
42,25 182,25 42,25
= 115,5
20
11
S = 3255,0
R12
16,5
6,5
6,5
6,5
5,5
16,5
6
16,5
6,5
6
6
99
-16,5
272,25
W=
2 =
R13
16,5
6,5
6,5
16,5
15,5
6,5
6
16,5
16,5
16
6
129
13,5
182,25
0,055
11,571
R14
R15
16,5 16,5
6,5
16,5
6,5
16,5
6,5
6,5
15,5 15,5
6,5
6,5
16
6
6,5
16,5
6,5
6,5
16
6
6
16
109
129
-6,5 13,5
42,25 182,25
R16
6,5
16,5
16,5
16,5
15,5
6,5
6
6,5
16,5
16
6
129
13,5
182,25
R17
R18
R19
6,5
6,5
16,5
16,5
6,5
16,5
16,5 16,5
6,5
6,5
6,5
16,5
15,5 15,5 15,5
6,5
6,5
6,5
16
6
16
6,5
6,5
6,5
16,5
6,5
6,5
16
16
6
6
16
16
129
109
129
13,5 -6,5 13,5
182,25 42,25 182,25
R20
6,5
6,5
6,5
16,5
15,5
6,5
16
16,5
16,5
6
16
129
13,5
182,25
Efeito dos Empates

t1
t2
T
12
8 185
12
8 185
12
8 185
12
8 185
10 10 165
12
8 185
11
9 170
12
8 185
12
8 185
11
9 170
11
9 170
T = 1970
Os clculos indicaram, face ao valor 0,055 obtido para o coeficiente de concordncia W, que,
neste ciclo, havia um grau de concordncia ainda muito baixo entre os painelistas, adotadas as
faixas sugeridas por Schmidt (op. cit.). O teste de 2 mostrou que W tinha significncia
muito baixa (p >> 0,1) e este fato sugeria que tinha que ser buscada, nos ciclos seguintes, uma
85
concordncia maior entre os painelistas, mas no invalidou a escolha, neste passo, dos riscos
mais relevantes.
Ressalte-se, aqui tambm, que esta lista coletiva ainda no representava um ranking, pois,
neste ciclo, os painelistas apenas escolheram os riscos mais relevantes, sem, todavia,
promover qualquer ordenao. Portanto, este ciclo permitiu somente que fossem eliminados
pelos painelistas oito riscos considerados menos relevantes, riscos esses que esto com seus
respectivos pesos, na lista coletiva da Tabela 3, marcados com um fundo de cor cinza.
4.6.3
Respostas Relativas s Barreiras
Ao responder a este questionrio, na sequncia, cada painelista indicou um ranking para

barreiras e a tabulao das respostas foi feita com o objetivo de obter o ranking consolidado.
A Tabela 4 apresenta os rankings de barreiras, os individuais e o coletivo, este ltimo
refletindo a opinio consolidada do grupo. A linha da tabela marcada com um fundo de cor
cinza indica as posies das barreiras no ranking consolidado.
O coeficiente de concordncia W tinha um valor equivalente a 0,227, significando que o
ranking consolidado, adotadas as faixas sugeridas por Schmidt (op. cit.), expressava a
existncia de um grau de concordncia baixo entre os painelistas. O teste de 2 mostrava que
W tinha significncia em nvel p = 0,01.
Tabela 4 Rankings das Barreiras Mais Relevantes

Painelistas
A
B
C
D
E
F
G
H
I
J
K
R = ranks
X=R
Y = X^2
Posio
B1
1
1
1
8
2
4
5
9
9
10
1
51
-9,5
90,25
3
B2
B3
B5
2
8
5
2
5
6
2
8
7
9
10
7
3
10
4
3
6
2
4
7
8
3
4
5
2
3
4
8
7
5
5
6
2
43
74
55
-17,5
13,5
-5,5
306,25 182,25 30,25
2
9
4
n = 10
m = 11
Barreiras
B6
B9
B10
B11
B15
B16
6
4
7
9
10
3
7
8
9
3
10
4
3
5
6
4
9
10
6
5
4
3
2
1
7
6
8
5
9
1
9
5
7
8
10
1
10
6
1
2
9
3
7
6
8
10
1
2
5
8
7
6
10
1
6
4
3
2
9
1
4
3
8
9
10
7
70
60
68
61
89
34
9,5
-0,5
7,5
0,5
28,5 -26,5
90,25 0,25 56,25 0,25 812,25 702,25
8
5
7
6
10
1
=
60,5
W = 0,227
S = 2270,5
2 = 22,517
86
Desdobrando em dois subconjuntos as respostas relativas ao ordenamento das barreiras, tmse em separado os rankings consolidados dos acadmicos e dos profissionais de TI, os quais
esto apresentados nas Tabelas 5 e 6.
Tabela 5 Rankings das Barreiras Mais Relevantes (Acadmicos)
Painelistas
B1
B2
B3
A
1
2
8
B
1
2
5
C
1
2
8
R = ranks
3
6
21
X=R
-13,5 -10,5
4,5
Y = X^2
182,25 110,25 20,25
Posio
1
2
8
n=
m=
B5
5
6
7
18
1,5
2,25
7
10
3
Barreiras
B6
B9
B10
B11
B15
6
4
7
9
10
7
8
9
3
10
3
5
6
4
9
16
17
22
16
29
-0,5
0,5
5,5
-0,5
12,5
0,25
0,25 30,25
0,25 156,25
3
5
9
3
10
=
16,5
W = 0,677
S = 502,5
2 = 18,273
B16
3
4
10
17
0,5
0,25
5
Tabela 6 Rankings das Barreiras Mais Relevantes (Profissionais de TI)

Painelistas
D
E
F
G
H
I
J
K
R = ranks
X=R
Y = X^2
Posio
B1
8
2
4
5
9
9
10
1
48
4,0
16
7
B2
9
3
3
4
3
2
8
5
37
-7,0
49
2
B3
10
10
6
7
4
3
7
6
53
9,0
81
8
n=
m=
B5
7
4
2
8
5
4
5
2
37
-7,0
49
2
10
8
Barreiras
B6
B9
6
5
7
6
9
5
10
6
7
6
5
8
6
4
4
3
54
43
10,0
-1,0
100
1
9
4
=
44,0
S = 1286,0
B10
B11
4
3
8
5
7
8
1
2
8
10
7
6
3
2
8
9
46
45
2,0
1,0
4
1
6
5
W = 0,244
2 = 17,536
B15
2
9
10
9
1
10
9
10
60
16,0
256
10
B16
1
1
1
3
2
1
1
7
17
-27,0
729
1
A anlise destas duas ltimas tabelas mostra que, para os acadmicos, o ranking obtido era
relativamente diferente do geral, com trs coincidncias de posies (ranks das barreiras B2,
B9 e B15), uma posio prxima apenas (ranks 8 e 9 para a barreira B3) e quatro
discrepncias significativas (ranks 7 e 4 para a barreira B5, ranks 3 e 8 para a barreira B6,
ranks 3 e 6 para a barreira B11 e ranks 5 e 1 para a barreira B16). J o ranking dos
profissionais de TI era mais semelhante ao geral, com tambm trs coincidncias de posies
(ranks das barreiras B2, B15 e B16), mas cinco posies prximas e somente uma
discrepncia mais significativa (ranks 7 e 3 para a barreira B1). No caso dos acadmicos,
havia um alto grau de concordncia de opinies acerca das barreiras mais relevantes, adotadas
as faixas sugeridas por Schmidt (op. cit.), pois o coeficiente de concordncia foi a 0,677, ao
87
passo que entre os profissionais de TI o grau de concordncia era to baixo quanto o

verificado para o grupo como um todo. Em ambos os casos, o teste de 2 mostrava que W
tinha significncia em nvel p = 0,05.
4.6.4
Respostas Relativas aos Benefcios
No que diz respeito aos benefcios, a Tabela 7 apresenta seus rankings individuais e o
coletivo, tambm obtidos a partir das respostas a este questionrio. A linha da tabela marcada
com um fundo de cor cinza indica as posies dos benefcios no ranking consolidado.
Neste caso, o coeficiente de concordncia tinha um valor equivalente a 0,144, significando
que tambm este ranking consolidado expressava um grau de concordncia baixo entre os
painelistas, adotadas as faixas sugeridas por Schmidt (op. cit.). O teste de 2 mostrava que W
tinha significncia em nvel p = 0,1.
Tabela 7 Rankings dos Benefcios Mais Relevantes
Painelistas
V1
V2
A
2
3
B
3
2
C
10
8
D
4
3
E
2
7
F
1
2
G
1
7
H
10
1
I
6
9
J
5
7
K
5
2
R = ranks
49
51
X=R
-11,5
-9,5
Y = X^2
132,25 90,25
Posio
2
4
Benefcios
V3
V5
V6
V7
V8
V11
V13
9
4
5
7
8
10
6
4
5
1
6
7
8
10
6
3
4
5
2
1
7
2
9
8
10
7
1
6
3
4
5
10
9
8
6
3
4
6
10
5
9
8
5
4
2
3
6
10
8
2
7
5
4
6
8
3
10
2
3
8
4
5
1
6
4
3
9
10
2
1
3
4
1
6
7
8
9
53
50
43
78
71
70
65
-7,5
-10,5 -17,5
17,5
10,5
9,5
4,5
56,25 110,25 306,25 306,25 110,25 90,25 20,25
5
3
1
10
8
7
6
=
60,5
W = 0,144
n = 10
m = 11
S = 1432,5
2 = 14,207
V14
1
9
9
5
1
7
9
9
7
8
10
75
14,5
210,25
9
Desdobrando, da mesma forma, em dois subconjuntos as respostas relativas ao ordenamento

dos benefcios, tm-se em separado os rankings consolidados dos acadmicos e dos
profissionais de TI , os quais esto apresentados nas Tabelas 8 e 9.
88
Tabela 8 Rankings dos Benefcios Mais Relevantes (Acadmicos)
Painelistas
A
B
C
R = ranks
X=R
Y = X^2
Posio
V1
2
3
10
15
-1,5
2,25
4
V2
3
2
8
13
-3,5
12,25
3
V3
V5
9
4
4
5
6
3
19
12
2,5
-4,5
6,25 20,25
7
2
n = 10
m=
3
Benefcios
V6
V7
5
7
1
6
4
5
10
18
-6,5
1,5
42,25 2,25
1
6
=
16,5
S = 140,5
V8
8
7
2
17
0,5
0,25
5
W=
2 =
V11
V13
10
6
8
10
1
7
19
23
2,5
6,5
6,25 42,25
7
10
0,189
5,109
V14
1
9
9
19
2,5
6,25
7
Tabela 9 Rankings dos Benefcios Mais Relevantes (Profissionais de TI)

Painelistas
V1
V2
D
4
3
E
2
7
F
1
2
G
1
7
H
10
1
I
6
9
J
5
7
K
5
2
R = ranks
34
38
X=R
-10,0
-6,0
Y = X^2
100,00 36,00
Posio
2
4
V3
V5
2
9
3
4
3
4
5
4
2
7
10
2
6
4
3
4
34
38
-10,0
-6,0
100,00 36,00
2
4
n = 10
m=
8
Benefcios
V6
V7
V8
V11
8
10
7
1
5
10
9
8
6
10
5
9
2
3
6
10
5
4
6
8
3
8
4
5
3
9
10
2
1
6
7
8
33
60
54
51
-11,0
16,0
10,0
7,0
121,00 256,00 100,00 49,00
1
10
8
7
=
44,0
W = 0,179
S = 946,0
2 = 12,900
V13
6
6
8
8
3
1
1
9
42
-2,0
4,00
6
V14
5
1
7
9
9
7
8
10
56
12,0
144,00
9
A anlise destas duas ltimas tabelas mostra que, no caso dos benefcios, verificava-se uma
situao anloga das barreiras. O ranking obtido para os acadmicos era tambm
relativamente diferente do geral, com apenas duas coincidncias de posies (ranks dos
benefcios V6 e V11), duas posies prximas (ranks 3 e 4 para o benefcio V2 e ranks 2 e 3
para o benefcio V5) e trs discrepncias significativas (ranks 6 e 10 para o benefcio V7,
ranks 5 e 8 para o benefcio V8 e ranks 10 e 6 para o benefcio V13). J o ranking dos
profissionais de TI era quase idntico ao geral, com oito coincidncias de posies, uma
posio prxima (ranks 4 e 3 para o benefcio V5) e apenas uma discrepncia significativa
(ranks 2 e 5 para o benefcio V3). Entretanto, as concordncias de opinies permaneciam em
grau baixo em ambos os casos, adotadas as faixas sugeridas por Schmidt (op. cit.), pois o
coeficiente de concordncia W foi a 0,189 para os acadmicos e 0,179 para os profissionais de
TI. O teste de 2 , por seu turno, indicava que, em ambos os casos, a significncia de W era
muito baixa (p >> 0,1), reforando a necessidade de se aguardar um prximo ciclo para
verificar as variaes dos valores de W e poder evoluir nas concluses.
89
4.7
Este ciclo abrangeu o preparo e envio do quarto questionrio relacionado ao tema da pesquisa
e a posterior tabulao e anlise das respostas obtidas.
Este questionrio compreendeu quatro perguntas, sendo a ltima, como de praxe, destinada a
colher comentrios gerais dos painelistas. A primeira questo visou obter dos painelistas a
proposio de um ranking de riscos, a partir das indicaes mais frequentes presentes na
consolidao das respostas dadas questo 3 do ciclo anterior. As duas outras questes
visaram revisar os rankings de barreiras e benefcios estabelecidos na rodada anterior. O texto
na ntegra das perguntas que compuseram este questionrio complementa o Apndice 2.
Este questionrio foi enviado aos 11 painelistas remanescentes, tendo sido excludo aquele
que no enviou suas respostas na rodada anterior. Todos os painelistas responderam.
4.7.1
Ao responder a este questionrio, cada painelista indicou um ranking para riscos e a tabulao
das respostas foi feita com o objetivo de se obter o ranking consolidado. A Tabela 10
apresenta os rankings de riscos, os individuais e o coletivo, este ltimo refletindo a opinio
consolidada do grupo. A linha da tabela marcada com um fundo de cor cinza indica as
posies dos riscos no ranking consolidado.
Tabela 10 Rankings dos Riscos Mais Relevantes
Riscos
R1
R3
R4
R5
R6
R7
R8
R9
R11
R12
R14
R18
A
3
6
1
2
12
5
11
8
7
4
9
10
B
11
12
10
9
7
8
4
5
6
1
2
3
C
3
7
8
5
6
10
11
12
4
2
1
9
D
8
2
1
7
6
9
10
3
4
11
5
12
E
1
12
9
11
4
2
8
7
10
3
5
6
F
3
8
4
7
11
9
12
5
6
2
1
10
G
3
8
5
6
11
10
12
4
7
2
1
9
H
1
3
2
5
4
6
10
7
8
11
9
12
I
4
8
3
7
11
10
12
5
6
2
1
9
J
11
9
8
10
12
7
6
5
4
3
2
1
K
3
7
4
8
11
10
12
5
6
1
2
9
R = ranks 51,0
82,0
55,0
77,0
95,0
86,0 108,0 66,0
68,0
42,0
38,0
90,0
X=R
-20,5
10,5 -16,5
5,5
23,5
14,5
36,5
-5,5
-3,5
-29,5 -33,5
18,5
Y = X^2
420,25 110,25 272,25 30,25 552,25 210,25 1332,25 30,25 12,25 870,25 1122,25 342,25
Posio
3
8
4
7
11
10
12
5
6
2
1
9
=
71,5
W = 0,307
n = 12
m = 11
S = 5305,0
2 = 37,098
Painelistas
90
O coeficiente de concordncia W 0,307, significando que o ranking consolidado, adotadas

as faixas sugeridas por Schmidt (op. cit.), expressa a existncia de um grau de concordncia
moderado entre os painelistas. O teste de 2 mostra que W tem significncia em nvel p =
0,0001. Dado o grau de concordncia obtido neste ciclo, entendeu-se que, para este tema, o
painel poderia ser encerrado, assumindo-se este ranking consolidado como sendo o final.
Desdobrando tambm as respostas relativas ao ordenamento dos riscos em dois subconjuntos,
tm-se em separado, uma vez mais, os rankings consolidados dos acadmicos e dos
profissionais de TI , os quais esto apresentados nas Tabelas 11 e 12.
Tabela 11 Rankings dos Riscos Mais Relevantes (Acadmicos)
Painelistas
A
B
C
R = ranks
X=R
Y = X^2
Posio
R1
3
11
3
17,0
-2,5
6,25
4
R3
6
12
7
25,0
5,5
30,25
9
R4
1
10
8
19,0
-0,5
0,25
6
R5
R6
2
12
9
7
5
6
16,0
25,0
-3,5
5,5
12,25 30,25
3
9
n = 12
m=
3
Riscos
R7
R8
R9
5
11
8
8
4
5
10
11
12
23,0
26,0
25,0
3,5
6,5
5,5
12,25 42,25 30,25
8
12
9
=
19,5
W=
S = 389,0
2 =
R11
R12
R14
7
4
9
6
1
2
4
2
1
17,0
7,0
12,0
-2,5
-12,5
-7,5
6,25 156,25 56,25
4
1
2
0,302
9,974
R18
10
3
9
22,0
2,5
6,25
7
Tabela 12 Rankings dos Riscos Mais Relevantes (Profissionais de TI)

Painelistas
R1
R3
D
8
2
E
1
12
F
3
8
G
3
8
H
1
3
I
4
8
J
11
9
K
3
7
R = ranks 34,0
57,0
X=R
-18,0
5,0
Y = X^2
324,00 25,00
Posio
2
7
Riscos
R4
R5
R6
R7
R8
R9
R11
R12
R14
R18
1
7
6
9
10
3
4
11
5
12
9
11
4
2
8
7
10
3
5
6
4
7
11
9
12
5
6
2
1
10
5
6
11
10
12
4
7
2
1
9
2
5
4
6
10
7
8
11
9
12
3
7
11
10
12
5
6
2
1
9
8
10
12
7
6
5
4
3
2
1
4
8
11
10
12
5
6
1
2
9
36,0
61,0
70,0
63,0
82,0
41,0
51,0
35,0
26,0
68,0
-16,0
9,0
18,0
11,0
30,0 -11,0
-1,0
-17,0 -26,0
16,0
256,00 81,00 324,00 121,00 900,00 121,00 1,00 289,00 676,00 256,00
4
8
11
9
12
5
6
3
1
10
=
n = 12
52,0
W = 0,369
m=
8
S = 3374,0
2 = 32,442
A anlise destas duas ltimas tabelas mostra que, no caso dos riscos, o ranking obtido para os
acadmicos relativamente diferente do geral, com apenas uma coincidncia de posies
(rank do risco R8), porm nove posies prximas e duas discrepncias significativas (ranks
3 e 7 para o risco R5 e ranks 9 e 5 para o risco R9). Por seu turno, o ranking dos profissionais
91
de TI bastante semelhante ao geral, com seis coincidncias de posies (ranks dos riscos
R4, R6, R8, R9, R11 e R14) e as outras seis posies prximas, sem nenhuma discrepncia
mais significativa.
Em ambos os casos, h um grau moderado de concordncia de opinies acerca dos riscos
mais relevantes, adotadas as faixas sugeridas por Schmidt (op. cit.), pois o coeficiente de
concordncia de 0,302 para os acadmicos e 0,369 para os profissionais de TI. O teste de
2 mostra que W tem significncia em nvel p = 0,0005, para os profissionais, mas no tem
significncia para os acadmicos (p >> 0,1). Esta situao, muito provavelmente, decorre do
fato de a quantidade de acadmicos participantes ser muito pequena e ter havido discordncias
significativas quanto relevncia de alguns riscos ( o caso de R4, R14 e R18), o que acabou
pesando na consolidao. De todo modo, este aspecto no invalida o ranking geral
consolidado, pois esta anlise segmentada entre acadmicos e profissionais de TI apenas
complementar, sendo vlida, de fato, a anlise para o grupo de painelistas como um todo.
4.7.2
Respostas Relativas s Barreiras
Cada painelista foi solicitado a rever sua ordenao relativa s barreiras, uma vez conhecida a
opinio coletiva do grupo. Como se tratou de uma reviso opcional, apenas alguns optaram
por promover modificaes no ranking indicado de incio. A Tabela 13 apresenta como
ficaram, depois de consideradas as modificaes, os novos rankings individuais e o coletivo.
Tabela 13 Rankings das Barreiras Mais Relevantes (Aps Reviso)

Painelistas
B1
B2
B3
A
1
2
8
B
2
3
5
C
8
7
4
D
8
9
10
E
2
3
10
F
4
2
9
G
5
4
7
H
9
3
4
I
3
2
9
J
3
2
9
K
3
2
9
R = ranks
48
39
84
X=R
-12,5 -21,5
23,5
Y = X^2
156,25 462,25 552,25
Posio
3
2
9
n=
m=
B5
5
6
9
7
4
3
8
5
4
4
4
59
-1,5
2,25
5
10
11
Barreiras
B6
B9
B10
B11
B15
B16
6
4
7
9
10
3
7
8
9
4
10
1
2
6
1
3
5
10
6
5
4
3
2
1
7
6
8
5
9
1
8
6
7
5
10
1
10
6
1
2
9
3
7
6
8
10
1
2
7
6
8
5
10
1
8
5
7
6
10
1
7
6
8
5
10
1
75
64
68
57
86
25
14,5
3,5
7,5
-3,5
25,5
-35,5
210,25 12,25 56,25 12,25 650,25 1260,3
8
6
7
4
10
1
=
60,5
W = 0,338
S = 3374,5
2 = 33,466
92
O coeficiente de concordncia W passou a valer a 0,338, significando que o ranking

consolidado, adotadas as faixas sugeridas por Schmidt (op. cit.), passou a expressar a
existncia de um grau de concordncia moderado entre os painelistas. O teste de 2 mostrou
significncia em nvel p = 0,0001 para W. Dada a importante variao para maior verificada
no coeficiente de concordncia, entendeu-se que, para este tema, o painel poderia ser
encerrado, assumindo-se o ranking consolidado obtido neste ciclo como sendo o final.
Desdobrando-se aqui tambm em dois subconjuntos as respostas relativas ao ordenamento das
barreiras, tm-se em separado novos rankings consolidados dos acadmicos e dos
profissionais de TI, os quais esto apresentados nas Tabelas 14 e 15.
Tabela 14 Rankings das Barreiras Mais Relevantes (Acadmicos Aps Reviso)
Painelistas
A
B
C
R = ranks
X =R
Y = X^2
Posio
B1
1
2
8
11
-5,5
30,25
1
B2
2
3
7
12
-4,5
20,25
2
B3
B5
8
5
5
6
4
9
17
20
0,5
3,5
0,25 12,25
6
9
n = 10
m=
3
Barreiras
B6
B9
6
4
7
8
2
6
15
18
-1,5
1,5
2,25
2,25
4
8
=
16,5
S = 146,5
B10
7
9
1
17
0,5
0,25
6
W=
2 =
B11
B15
9
10
4
10
3
5
16
25
-0,5
8,5
0,25 72,25
5
10
0,197
5,327
B16
3
1
10
14
-2,5
6,25
3
Tabela 15 Rankings das Barreiras Mais Relevantes (Profissionais de TI Aps Reviso)

Painelistas
D
E
F
G
H
I
J
K
R = ranks
X =R
Y = X^2
Posio
B1
8
2
4
5
9
3
3
3
37
-7,0
49
3
B2
9
3
2
4
3
2
2
2
27
-17,0
289
2
B3
10
10
9
7
4
9
9
9
67
23,0
529
10
n=
m=
B5
7
4
3
8
5
4
4
4
39
-5,0
25
4
10
8
Barreiras
B6
B9
6
5
7
6
8
6
10
6
7
6
7
6
8
5
7
6
60
46
16,0
2,0
256
4
8
6
=
44,0
S = 2588,0
B10
B11
4
3
8
5
7
5
1
2
8
10
8
5
7
6
8
5
51
41
7,0
-3,0
49
9
7
5
W = 0,490
2 = 35,291
B15
2
9
10
9
1
10
10
10
61
17,0
289
9
B16
1
1
1
3
2
1
1
1
11
-33,0
1089
1
Aps a reviso, o novo ranking dos acadmicos relativamente diferente do geral, com
apenas duas coincidncias de posies (ranks das barreiras B2 e B15), duas posies
93
prximas (ranks das barreiras B10 e B11) e trs discrepncias significativas (ranks 6 e 9 para
a barreira B3, ranks 9 e 5 para a barreira B5 e ranks 4 e 8 para a barreira B6). Por seu turno, o
novo ranking dos profissionais de TI altamente semelhante ao geral, com seis coincidncias
de posies (ranks das barreiras B1, B2, B6, B9, B10 e B16) e as outras quatro posies
prximas (ranks das barreiras B3, B5, B11 e B15).
Houve uma inverso nos graus de concordncia, adotadas as faixas sugeridas por Schmidt
(op. cit.). Os acadmicos, entre os quais havia uma alta concordncia, tiveram seu coeficiente
reduzido para 0,197, ao passo que os profissionais de TI, cuja concordncia apresentava um
grau baixo, tiveram seu coeficiente aumentado para 0,490, o que agora representa um grau
moderado. O teste de 2 mostra que W tem significncia em nvel p = 0,0001, para os
profissionais de TI, mas no tem significncia para os acadmicos. A explicao para esta
situao verificada com os acadmicos a mesma j apresentada acima para o caso dos
riscos.
4.7.3
Respostas Relativas aos Benefcios
Do mesmo modo, cada painelista foi solicitado a rever sua ordenao relativa aos benefcios,
uma vez conhecida a opinio coletiva do grupo. Como se tratou, uma vez mais, de uma
reviso opcional, tambm apenas alguns optaram por promover modificaes no ranking
indicado de incio. A Tabela 16 apresenta como ficaram, depois de consideradas as
modificaes, os novos rankings individuais e o coletivo.
Tabela 16 Rankings dos Benefcios Mais Relevantes (Aps Reviso)
Painelistas
V1
V2
V3
V5
A
2
3
9
4
B
3
2
4
5
C
9
1
4
5
D
4
3
2
9
E
2
5
6
3
F
1
3
5
4
G
1
7
5
4
H
10
1
2
7
I
1
2
4
5
J
2
4
5
3
K
5
2
3
4
R = ranks
40
33
49
53
X=R
-20,5 -27,5 -11,5
-7,5
Y = X^2
420,25 756,25 132,25 56,25
Posio
3
1
4
5
n = 10
m = 11
Benefcios
V6
V7
V8
V11
V13
5
7
8
10
6
1
6
7
8
10
7
6
8
10
3
8
10
7
1
6
1
10
9
8
7
2
10
8
9
6
2
3
6
10
8
5
4
6
8
3
3
8
9
10
6
1
10
8
7
6
1
6
7
8
9
36
80
83
89
70
-24,5
19,5
22,5
28,5
9,5
600,25 380,25 506,25 812,25 90,25
2
8
9
10
6
=
60,5
W = 0,389
S = 3886,5
2 = 38,544
V14
1
9
2
5
4
7
9
9
7
9
10
72
11,5
132,25
7
94
O coeficiente de concordncia W passou a valer a 0,389, significando que o ranking

consolidado, adotadas as faixas sugeridas por Schmidt (op. cit.), passou a expressar a
existncia de um grau de concordncia moderado entre os painelistas. O teste de 2 mostrou
significncia em nvel p = 0,00001 para W. Dada a importante variao para maior verificada
no coeficiente de concordncia, entendeu-se que, igualmente para este tema, o painel poderia
ser encerrado, assumindo-se o ranking consolidado obtido neste ciclo como sendo o final.
Uma vez mais, foram desdobradas em dois subconjuntos as respostas relativas ao
ordenamento dos benefcios, obtendo-se em separado novos rankings consolidados dos
acadmicos e dos profissionais de TI, os quais esto apresentados nas Tabelas 17 e 18.
Tabela 17 Rankings dos Benefcios Mais Relevantes (Acadmicos Aps Reviso)
Painelistas
A
B
C
R = ranks
X =R
Y = X^2
Posio
V1
2
3
9
14
-2,5
6,25
4
V2
3
2
1
6
-10,5
110,25
1
V3
9
4
4
17
0,5
0,25
5
n=
m=
V5
4
5
5
14
-2,5
6,25
4
10
3
Benefcios
V6
V7
V8
V11
5
7
8
10
1
6
7
8
7
6
8
10
13
19
23
28
-3,5
2,5
6,5
11,5
12,25
6,25 42,25 132,25
3
7
9
10
=
16,5
W = 0,461
S = 342,5
2 = 12,455
V13
6
10
3
19
2,5
6,25
7
V14
1
9
2
12
-4,5
20,25
2
Tabela 18 Rankings dos Benefcios Mais Relevantes (Profissionais de TI Aps Reviso)

Painelistas
V1
V2
V3
V5
D
4
3
2
9
E
2
5
6
3
F
1
3
5
4
G
1
7
5
4
H
10
1
2
7
I
1
2
4
5
J
2
4
5
3
K
5
2
3
4
R = ranks
26
27
32
39
X =R
-18,0 -17,0 -12,0
-5,0
Y = X^2
324,00 289,00 144,00 25,00
Posio
2
3
4
5
n = 10
m=
8
Benefcios
V6
V7
V8
V11
V13
8
10
7
1
6
1
10
9
8
7
2
10
8
9
6
2
3
6
10
8
5
4
6
8
3
3
8
9
10
6
1
10
8
7
6
1
6
7
8
9
23
61
60
61
51
-21,0
17,0
16,0
17,0
7,0
441,00 289,00 256,00 289,00 49,00
1
9
7
9
6
=
44,0
W = 0,447
S = 2362,0
2 = 32,209
V14
5
4
7
9
9
7
9
10
60
16,0
256,00
7
Aps a reviso, o ranking obtido para os acadmicos pouco diferente do geral, com trs
coincidncias de posies (ranks dos benefcios V2, V8 e V11), seis posies prximas e
95
apenas uma discrepncia significativa (ranks 2 para 7, para o benefcio V14). J o ranking dos
profissionais de TI bastante semelhante ao geral, com quatro coincidncias de posies
(ranks dos benefcios V4, V5, V13 e V14) e as outras oito posies prximas, sem nenhuma
discrepncia mais significativa.
Tanto para os acadmicos quanto para os profissionais de TI, os coeficientes de concordncia
elevaram-se a um patamar ainda acima do ranking geral, indo, respectivamente, a 0,461 e
0,447, representando, em ambos os casos, um grau de concordncia moderado, adotadas as
faixas sugeridas por Schmidt (op. cit.). O teste de 2 mostra que W tem significncia em
nvel p = 0,0001, para os profissionais, mas no tem significncia para os acadmicos. A
explicao para esta situao verificada com os acadmicos a mesma j apresentada acima
para os casos dos riscos e das barreiras.
4.8
Supresso do Ciclo 5 do Painel
O Ciclo 5 teria como foco o aprimoramento do grau de concordncia entre os painelistas,

relativamente aos temas que porventura ainda estivessem apresentando grau muito baixo ou
baixo.
Tendo em vista que, com a realizao do Ciclo 4, obteve-se um grau de concordncia
moderado para os trs temas (barreiras, benefcios e riscos), tornou-se desnecessrio
prosseguir com o painel e, consequentemente, este ciclo acabou por no ser realizado.
4.9
Elaborao das Concluses
As concluses finais acerca da viso dos painelistas relativamente aos riscos, benefcios e
barreiras potenciais associados aos ambientes de computao em nuvem no privada esto
apresentadas nos dois prximos captulos deste documento.
96
97
RECOMENDAES PARA O TRATAMENTO DOS RISCOS

INERENTES COMPUTAO EM NUVEM
At este momento do estudo, os objetivos secundrios estabelecidos haviam sido alcanados e

representados pelo contedo dos Captulos 2 e 4 deste documento. A ttulo de recordao,
estes objetivos so:
Identificar os benefcios potenciais citados em estudos acadmicos como passveis de ser

obtidos, pelos consumidores de servios, com a adoo da computao em nuvem;
Identificar e apresentar, de maneira ordenada, as propostas oriundas do meio acadmico

para o tratamento, por parte dos consumidores de servios, das questes das barreiras e dos
riscos inerentes computao em nuvem;
Explicitar semelhanas, divergncias, pontos fortes e deficincias das distintas propostas

identificadas, relativamente a barreiras e benefcios;
Explorar e verificar a pertinncia e adequao dos benefcios apontados e das

recomendaes relativas a barreiras e riscos constantes das propostas identificadas.
De modo a poder cumprir com o objetivo principal, seria ainda necessrio fazer as
recomendaes com vistas a auxiliar os consumidores de servios de computao em nuvem a
tratar adequadamente a questo dos riscos, ou seja, conforme estabelecido neste objetivo:
identificar os riscos, compreend-los e preparar-se para gerenci-los, de modo tal a poder
contratar servios oferecidos em nuvens com grau aceitvel de risco. E , ento, o que feito
neste captulo, no qual so apresentadas e detalhadas as recomendaes voltadas a risco.
5.1
Riscos Inerentes Computao em Nuvem
O painel Delphi realizado mostrou, na viso dos painelistas participantes, quais riscos
inerentes computao em nuvem no privada, sob a tica dos consumidores de servios
desta natureza, devem ser considerados com mais ateno. O ranking coletivo obtido ao final
do painel est reproduzido no Quadro 15, o qual agrega, na coluna mais direita, a indicao
do grupo (conforme definido no Quadro 8) ao qual cada risco pode ser associado. Aos riscos
98
R11, R12 e R14, que no constam do Quadro 8, foram atribudos grupos de acordo com o
mesmo critrio adotado no tpico 2.2.5.
Quadro 15 Ranking de Riscos Potenciais Inerentes Computao
em Nuvem No Privada
Posio No. Enunciado
Grupo de Riscos
R14 Dificuldade para integrar: dificuldade significativa ou, no limite, Operacionais

impossibilidade de integrar diferentes aplicativos de um mesmo ou de
distintos fornecedores
R12 Imaturidade do modelo: baixa maturidade do modelo de prestao de De Negcio

servios em nuvem por ser muito recente, podendo gerar exposio
indevida para os gestores de TI dos clientes
R1
Falta de privacidade: baixo grau de confidencialidade e deficincias de Operacionais

isolamento no ambiente da nuvem, possibilitando acessos indevidos
e/ou adulterao de dados e/ou aplicativos de consumidores
R4
Baixo desempenho: desempenho insatisfatrio dos servios contratados Operacionais

(devido a picos de demanda, balanceamento inadequado,
subdimensionamento dos recursos, alta latncia de rede e outros fatores
assemelhados), levando ao descumprimento dos SLA's
R9
Baixa interoperabilidade: dificuldade significativa ou, no limite, Operacionais

impossibilidade de intercambiar dados e/ou aplicativos entre distintos
provedores
R11 Incapacidade: baixa capacidade e/ou inexperincia do provedor para Estruturais

prestar servios da natureza dos ofertados em ambientes de computao
em nuvem
R5
Dificuldade para escalar: demora excessiva ou dificuldades do Operacionais

provedor para provisionar e/ou liberar recursos da nuvem
R3
Suporte inadequado: falhas de natureza diversa no servio de suporte, Operacionais

tais como pessoal mal preparado, gargalos no atendimento,
indisponibilidade do servio etc.
R18 No conformidade: no atendimento a aspectos ditados pela legislao Estruturais

ou disciplinados por padres de larga aceitao na indstria
10
R7
No-continuidade: interrupo definitiva da prestao dos servios pelo De Negcio

provedor
11
R6
Indisponibilidade: interrupo temporria dos servios em decorrncia De Negcio

de problemas tcnicos ou de ordem diversa de parte do provedor
12
R8
Aprisionamento:
dificuldade
significativa
ou,
no
limite, Estruturais
impossibilidade de trocar de provedor, devido a particularidades do
ambiente e/ou aspectos contratuais
A anlise do Quadro 15 mostra que, no ranking coletivo, h uma prevalncia, em termos de

ateno requerida, dos riscos operacionais sobre os dos demais grupos. Este aspecto fica
demonstrado pelo fato de, entre os riscos que ocupam as cinco primeiras posies do ranking,
quatro deles serem operacionais.
99
O risco alado condio de mais relevante diz respeito dificuldade para integrar diferentes
aplicativos de um mesmo ou de distintos fornecedores, dando a entender que os painelistas
consideram vivel contratar servios de mais de um provedor, buscando as solues que se
mostrarem mais convenientes. O risco de se defrontar com baixa interoperabilidade, que
ocupa a quinta posio no ranking, refora este ponto de vista.
O segundo risco considerado mais relevante refere-se imaturidade do modelo de prestao
de servios em nuvem e o nico risco no operacional entre os cinco primeiros do ranking.
Este risco reflete a preocupao dos gestores de TI quanto a se expor indevidamente perante
suas organizaes, caso suas escolhas relativas a provedores e servios contratados
apresentem problemas que venham a impactar os negcios. o visceral debate entre escolher
ser um pioneiro ou aguardar a consolidao das novas tecnologias para s depois aderir a elas.
A terceira, a quarta e a quinta posies do ranking esto ocupadas por riscos operacionais:
falta de privacidade, baixo desempenho e baixa interoperabilidade. So questes tcnicas da
maior importncia e sua colocao no topo do ranking reflete as preocupaes dos painelistas
para com a violao de dados e aplicativos, para com o desempenho insatisfatrio e o
consequente no cumprimento dos acordos de nvel de servio contemplados nos contratos e
ainda para com restries ao intercmbio de dados e aplicativos entre distintos provedores.
Num bloco intermedirio, ocupando da sexta nona posies, esto colocados riscos
estruturais e operacionais que acabaram por ser considerados pelos painelistas como
demandadores de ateno apenas mediana. Neste conjunto, esto as questes da incapacidade
do provedor para prestar servios da natureza dos da computao em nuvem, da dificuldade
apresentada pelo provedor para viabilizar o provisionamento e a liberao dinmicos de
recursos, da inadequao do suporte oferecido pelo provedor e do no atendimento a aspectos
ditados pela legislao ou disciplinados por padres de larga aceitao na indstria.
Chama a ateno, por fim, o fato de os riscos de no-continuidade e indisponibilidade
ocuparem posies menos relevantes no ranking consolidado, o que, de certa forma, no
retrata o senso comum, pois estes deveriam ser pontos de redobrada ateno, pelo potencial
impacto negativo que podem gerar nos negcios. Talvez esta baixa importncia se deva ao
fato de os painelistas considerarem que os provedores aos quais j esto vinculados ou que
100
esto sendo objeto de avaliao demonstram efetiva solidez empresarial, comprovada

capacitao tcnica e clara disposio de permanecer no negcio da computao em nuvem.
5.2
Recomendaes para Tratamento dos Riscos
Para atender na plenitude ao objetivo principal estabelecido para este estudo, estas
recomendaes devem possibilitar: (a) que os riscos inerentes computao em nuvem sejam
identificados e compreendidos e (b) que os consumidores de servios oferecidos em nuvens
possam se preparar para gerenciar estes riscos, com vistas a mant-los em patamares
aceitveis, que propiciem a segurana necessria para a realizao de contrataes.
Este estudo no contempla, entre seus objetivos, a recomendao ou a proposio de um
roteiro ou sistemtica para gesto dos riscos inerentes computao em nuvem, mas apenas
visa focar nas j mencionadas recomendaes que possam contribuir para o tratamento destes
riscos. Entretanto, para tornar didtica a apresentao das recomendaes, necessrio
referenciar um esquema para gesto de riscos, o que est sendo feito, sem, todavia, a
conotao de recomend-lo como um preferido.
Isto posto, considere-se ento como referncia o esquema para gesto de riscos j apresentado
na Figura 10 e proposto por Westerman e Hunter (op. cit.), do qual interessam, mais
especificamente, apenas duas das suas cinco etapas, dado que as demais ocupam-se de temas
no diretamente associados com o foco desta anlise. Para sinalizar as duas etapas relevantes,
este esquema est reapresentado na Figura 15, com destaque para as mesmas, que so: (a)
identificar e avaliar riscos e (b) priorizar riscos e atribuir responsabilidades.
Figura 15 Etapas Destacadas da Gesto dos Riscos da TI
Poltica e
Normas
Identificar e
Avaliar Riscos
Avaliao
de Risco
Priorizar
Riscos e Atribuir
Responsabilidades
Riscos
Priorizados
e Atribudos
Lidar com Riscos
Definir Poltica e
Normas de Risco
Mensuraes e
Status Correntes
Monitorar e
Rastrear Riscos
Status das
Aes
FONTE: Adaptado de Westerman e Hunter; 2007; p. 117.
101
Na realidade, nem so estas duas etapas na ntegra que tm relevncia para introduzir as
recomendaes. Da etapa de identificao e avaliao dos riscos, o foco recai somente na
identificao e, da etapa de priorizao e atribuio de responsabilidades, na priorizao
apenas. Os passos de avaliao e atribuio de responsabilidades j pressupem a existncia
de uma sistemtica de gesto de riscos, o que remete s consideraes feitas dois pargrafos
acima, qual seja, o "como" estes passos devem ser executados no est no escopo deste
estudo.
Portanto, as recomendaes aqui colocadas para o tratamento dos riscos aplicam-se s partes
acima explicitadas das duas etapas destacadas na Figura 15. Evidentemente, estas
recomendaes s tm validade se considerada a existncia de um processo formal e
sistemtico de avaliao de riscos, sem o que se torna invivel coloc-las em prtica.
Em detalhe, pode-se afirmar que se tem:
No que se refere identificao dos riscos:
O primeiro passo para a identificao de riscos efetivos o conhecimento acerca de a

quais riscos potenciais se est exposto;
Neste caso, deve-se assumir que o elenco de riscos potenciais est definido pelo
resultado obtido com o painel Delphi;
Portanto, tomando por base a opinio coletiva do grupo de especialistas envolvidos no

painel e dado que estes especialistas tiveram ainda a oportunidade de conhecer e revisar
a opinio de diversos acadmicos que anteriormente se ocuparam deste tema, lcito
afirmar que os riscos relacionados no Quadro 15 so efetivamente os que se deve levar
em conta ao avaliar a perspectiva de contratar servios de computao em nuvem.
No que se refere priorizao dos riscos:
Uma vez identificados os riscos potenciais, pode-se prioriz-los, sob a tica do maior ou
menor impacto potencial que cada um apresenta;
Neste caso, uma vez mais o resultado do painel Delphi contribui, pois j trs no seu bojo
uma sugesto para priorizao dos riscos, representada pelo ranking coletivo obtido em
decorrncia do trabalho de ordenao realizado pelos especialistas envolvidos.
Traduzindo estas colocaes em termos de recomendaes, tem-se:
102
Recomendao 1:
Quanto Avaliao dos Riscos
Ao avaliar a perspectiva de firmar ou rever contratos de servios de computao de

nuvem, considere a avaliao dos riscos como uma atividade mandatria no processo.
Justificativa:
A ainda pouca experincia dos provedores no fornecimento de servios desta
natureza um fator determinante para que a contratao ou reviso de contratos de
servios desta natureza seja precedida por uma ampla avaliao de riscos, atividade
que deve ser mantida ao longo de toda a vigncia dos contratos.
Recomendao 2:
Quanto ao Elenco de Riscos

nuvem, minimize o esforo a ser aplicado na identificao dos riscos potenciais aos
quais esses servios podero estar expostos, utilizando como ponto de partida o
seguinte elenco de riscos:
1. Dificuldade para integrar: dificuldade significativa ou, no limite, impossibilidade
de integrar diferentes aplicativos de um mesmo ou de distintos fornecedores;
2. Imaturidade do modelo: baixa maturidade do modelo de prestao de servios em
nuvem por ser muito recente, podendo gerar exposio indevida para os gestores
de TI dos clientes;
3. Falta de privacidade: baixo grau de confidencialidade e deficincias de
isolamento no ambiente da nuvem, possibilitando acessos indevidos e/ou
adulterao de dados e/ou aplicativos de consumidores;
4. Baixo desempenho: desempenho insatisfatrio dos servios contratados (devido a
picos de demanda, balanceamento inadequado, subdimensionamento dos
recursos, alta latncia de rede e outros fatores assemelhados), levando ao
descumprimento dos SLA's;
5. Baixa interoperabilidade: dificuldade significativa ou, no limite, impossibilidade
de intercambiar dados e/ou aplicativos entre distintos provedores;
6. Incapacidade: baixa capacidade e/ou inexperincia do provedor para prestar
servios da natureza dos ofertados em ambientes de computao em nuvem;
7. Dificuldade para escalar: demora excessiva ou dificuldades do provedor para
provisionar e/ou liberar recursos da nuvem;
8. Suporte inadequado: falhas de natureza diversa no servio de suporte, tais como
pessoal mal preparado, gargalos no atendimento, indisponibilidade do servio
etc.;
9. No conformidade: no atendimento a aspectos ditados pela legislao ou
disciplinados por padres de larga aceitao na indstria;
10. No-continuidade: interrupo definitiva da prestao dos servios pelo provedor;
11. Indisponibilidade: interrupo temporria dos servios em decorrncia de
problemas tcnicos ou de ordem diversa de parte do provedor;
12. Aprisionamento: dificuldade significativa ou, no limite, impossibilidade de trocar
de provedor, devido a particularidades do ambiente e/ou aspectos contratuais.
103
Recomendao 2:
Quanto ao Elenco de Riscos (cont.)
Justificativa:
Este elenco de riscos retrata a opinio coletiva de um grupo de especialistas em
computao em nuvem, os quais, ao longo do trabalho de anlise que realizaram,
alm de contribuir com sua experincia pessoal, tiveram ainda a oportunidade de
conhecer e revisar a opinio de diversos acadmicos que anteriormente se
ocuparam deste tema.
Recomendao 3:
Quanto ao Impacto Potencial dos Riscos

nuvem, minimize o esforo a ser aplicado na identificao do impacto potencial dos
riscos sobre os servios a serem contratados, utilizando como ponto de partida
exatamente a sequncia na qual os riscos elencados esto apresentados na
Recomendao 2, sequncia esta que reflete o poder relativo de impacto existente
entre eles.
Justificativa:
A sequncia na qual os riscos esto apresentados retrata a opinio coletiva de um
grupo de especialistas em computao em nuvem, os quais, ao longo do trabalho de
anlise que realizaram, culminaram com a proposio de um ranking para esses
riscos, levando em conta sua importncia ou poder relativo de impacto sobre os
servios oferecidos em ambientes de computao em nuvem.
104
105
CONCLUSES E CONSIDERAES FINAIS
Cumpridos todos os objetivos a que este estudo se props, este captulo trata das concluses e
das consideraes finais, explorando os aspectos mais relevantes relacionados s barreiras,
benefcios e riscos inerentes aos ambientes de computao em nuvem.
6.1
Concluses Acerca das Barreiras
Conforme destacado no tpico 4.4, o painel Delphi realizado contribuiu com a indicao,
pelos especialistas envolvidos, de 16 barreiras potenciais que podem inibir a adoo da
computao em nuvem. Por outro lado, a literatura acadmica pouco tem explorado a questo
das barreiras e a pesquisa bibliogrfica realizada neste estudo encontrou apenas duas
referncias a este tema, menes feitas por Miller (op. cit.) e por Marks e Lozano (op. cit.) e
exploradas no tpico 2.1.6 deste documento; estas fontes forneceram nove outras barreiras (as
quais esto relacionadas no Quadro 5), porm nenhuma, em essncia, acrescentou novidades a
este tema.
Portanto, como j explorado no tpico 4.5, foram ento submetidas 16 barreiras anlise dos
painelistas, com vistas a obter o elenco das dez mais relevantes e seu subsequente
ordenamento em ordem de importncia. O resultado final deste trabalho, que se desenvolveu
ao longo dos trs ltimos ciclos do painel, est apresentado no Quadro 16.
Quadro 16 Ranking de Barreiras Potenciais Adoo da
Computao em Nuvem No Privada
Posio No. Enunciado
1
B16 Dvidas quanto viabilidade da terceirizao de determinados servios, em funo de

criticidade dos negcios e necessidade de controle
B2
Riscos inerentes ao modelo de servios, muitos dos quais ainda desconhecidos e que
podem no ser adequadamente esclarecidos pelo fornecedor
B1
Maturidade ainda no comprovada do modelo de servios e governana, por ser muito

novo
B11 Dvidas quanto capacidade do fornecedor em negociar satisfatoriamente e atender a

SLA's
B5
Dvidas quanto segurana que possa vir a ser oferecida pelo fornecedor
B9
Dvidas quanto capacidade do fornecedor em atender a urgncias
106
Quadro 16 Ranking de Barreiras Potenciais Adoo da
Computao em Nuvem No Privada (cont.)
Posio No. Enunciado
7
B10 Dvidas quanto capacidade e agilidade do fornecedor em prover suporte
B6
Dvidas quanto capacidade do fornecedor em garantir disponibilidade e dispor de

recursos para atender a contingncias
B3
Oferta de servios ainda limitada
10
B15 Investimentos recentes realizados pelo comprador em infra-estrutura prpria
B4
Custo elevado dos servios ofertados
B7
Dvidas quanto qualidade dos recursos de infra-estrutura e rede de comunicaes

adotados pelo fornecedor
B8
Dvidas quanto capacidade do fornecedor em realizar em tempo hbil a implantao e

expanso dos servios contratados
B12 Dvidas quanto ao tratamento a ser recebido de parte do fornecedor, face eventual baixa
representatividade dos servios contratados
B13 Receio quanto comunicao com um fornecedor estrangeiro, por conta de dificuldades
com o idioma
B14 Falta de cultura por parte do comprador
D Desconsiderada no processo de indicao das mais relevantes
Focando nesse ranking de barreiras construdo com a colaborao dos painelistas, verifica-se
que a barreira por eles considerada a mais importante coloca uma questo bsica em pauta: o
que transferir para nuvens? Aplicaes crticas para o negcio podem ser transferidas ou
devem ser processadas em instalaes prprias?
O roteiro elaborado pela CSA (op. cit.), apresentado no tpico 2.2.6 deste documento, aborda
exatamente esta questo, oferecendo um instrumental que possibilita a uma organizao
avaliar e definir o que ela entende como passvel de ser colocado em nuvens, face aos riscos
que est propensa a correr.
Analisando a sequncia do ranking, interessante notar que as barreiras que ocupam as duas
posies seguintes so relacionadas, de certa forma, ao modelo de negcios da computao
em nuvem, explorando o aspecto do ainda pouco tempo de maturao deste modelo, o que,
sem dvida, trs tona questionamentos e dvidas acerca da convenincia de aderir a ele j
neste momento.
107
Prosseguindo na explorao do ranking, tem-se que as cinco barreiras seguintes esto

associadas a dvidas quanto efetiva capacidade dos provedores em atender a contento aos
potenciais consumidores dos servios por eles ofertados. muito provvel que estas dvidas
tenham sido colocadas pelos painelistas tambm em funo do pouco tempo de atuao e da
consequente pouca experincia acumulada pela maioria desses provedores, salvo algumas
notrias excees, como, por exemplo, o Google, a Microsoft e a salesforce.com.
6.2
Concluses Acerca dos Benefcios
No que diz respeito aos benefcios, a literatura acadmica mais profcua. No tpico 2.1.5
deste documento esto citados quatro autores e um total de 17 benefcios potenciais por eles
apresentados e detalhados, dentre os quais alguns bastante assemelhados e que acabaram por
ser reduzidos a apenas nove distintos, que esto relacionados no Quadro 4. Os painelistas, por
sua vez, conforme destacado no tpico 4.4, contriburam com outros 12 benefcios e, do
confronto entre essas duas listas, concluiu-se que vrios itens tinham o mesmo significado, o
que acabou por levar a uma relao final de 14 benefcios efetivamente diferentes entre si.
Portanto, como j explorado no tpico 4.5, foram ento submetidos esses 14 benefcios
anlise dos painelistas, com vistas a obter o elenco dos dez mais relevantes e seu subsequente
ordenamento em ordem de importncia. O resultado final deste trabalho, que tambm ocorreu
ao longo dos trs ltimos ciclos do painel, est apresentado no Quadro 17.
Quadro 17 Ranking de Benefcios Potenciais Decorrentes da
Adoo da Computao em Nuvem No Privada
Posio No. Enunciado
1
V2
Propicia maior simplicidade e menor esforo para gerir os ativos alocados a TI
V6
Viabiliza a implantao mais rpida de novos servios e aplicativos
V1
Permite concentrar o foco de TI nos negcios e em processos core
V3
Reduz ou elimina a necessidade de lidar com planejamento de capacidade e outros

processos associados a ativos prprios
V5
Demanda investimentos iniciais menores para se dispor do mesmo nvel de recursos e

tecnologia
V13 Facilita o acesso a inovaes, tornando possvel utilizar novos tipos de aplicativos e
servios no possveis em outras condies
V14 Propicia menor mobilizao de recursos de pessoal e infra-estrutura para TI
108
Quadro 17 Ranking de Benefcios Potenciais Decorrentes da
Adoo da Computao em Nuvem No Privada (cont.)
Posio No. Enunciado
8
V7
Confere maior grau de disponibilidade aos servios
V8
Oferece escalabilidade, proporcionando flexibilidade para crescer e lidar com situaes de

pico e sazonalidade
10
V11 Permite substituir investimentos em ativos (CAPEX) por despesas (OPEX), gerando
benefcios fiscais
V4
Gera oportunidade para aprimoramento tecnolgico e absoro de novos conhecimentos
V9
Propicia portabilidade aos servios, viabilizando trocas de fornecedores
V10 Possibilita reduo global de investimentos e de gastos com custeio de TI
V12 Aumenta o nvel global de segurana em TI, desde que cumpridos os SLA's pelos
fornecedores
D Desconsiderado no processo de indicao dos mais relevantes
Dentre os quatro benefcios considerados mais importantes, trs deles ( exceo daquele que
ocupa a segunda posio no ranking) tem como foco e beneficiria direta a prpria rea de TI.
Este fato se justifica, em boa parte, em decorrncia de a maioria dos painelistas serem
executivos atuantes na rea e terem colocado suas prprias expectativas em alta conta, o que
no de todo criticvel.
O benefcio colocado na segunda posio do ranking destaca-se, ento, como o mais relevante
sob a tica dos negcios, traduzindo a viso dos painelistas acerca da importncia de
disponibilizar novos servios e aplicativos s suas organizaes no mais curto intervalo de
tempo possvel.
Analisando o ranking na sequncia, v-se que os benefcios que ocupam as posies seguintes
contemplam equitativamente a rea de TI e a organizao como um todo, ao passo que os que
foram desconsiderados tm foco integralmente centrado em TI. Esta situao demonstra que,
apesar de terem sido considerados como mais importantes trs benefcios que trazem em seu
bojo vantagens diretas para as reas de TI, na avaliao global os painelistas tiveram uma
postura equilibrada quanto construo deste ranking, no se atendo exclusivamente a
valorizar benefcios em causa prpria.
109
6.3
Concluses Acerca dos Riscos e seu Tratamento
O captulo anterior deste documento objetivou apresentar as recomendaes destinadas a

auxiliar os consumidores de servios de computao em nuvem a tratar a questo dos riscos
inerentes a estes ambientes.
Para suportar essas recomendaes, foi feita no tpico 5.1 uma anlise detalhada acerca de
como os riscos foram tratados pelos painelistas, anlise esta que aborda, em linhas gerais,
aspectos semelhantes aos explorados nos tpicos acima para as barreiras e os benefcios. Esta
anlise, portanto, j contempla todos os pontos relevantes que poderiam ser esmiuados
relativamente a este tema.
6.4
Consideraes Finais
Este estudo objetivou explorar questes relevantes relativas a um tema atual e de importncia
crescente no campo da TI, a computao em nuvem. A cada dia, e com maior intensidade
nestes dois anos mais recentes, a computao em nuvem vem marcando presena crescente
entre as opes que se apresentam para o equacionamento das questes relativas TI por
parte das instituies e organizaes de negcio. Relembrando a frase de Victor Hugo citada
na epgrafe, todas as evidncias indicam que a oportunidade da computao em nuvem
chegou.
Porm, este um tema que ainda deixa um tanto desconfortveis os executivos de TI, quando
se deparam com questionamentos acerca da pertinncia e da convenincia de contratar, para
suas instituies e organizaes, servios oferecidos em ambientes de nuvem no privada.
De fato, a computao em nuvem no uma novidade simples de ser adotada. Muito pelo
contrrio, para adot-la pode ser necessrio enfrentar barreiras de difcil transposio, as quais
acabam por atuar no sentido de desestimular os mais otimistas executivos de TI. Mas
possvel reconhecer e avaliar antecipadamente estas barreiras potenciais e este estudo
incumbiu-se de explicit-las e oferecer aos candidatos adoo da computao em nuvem um
quadro realista do que podem ter que enfrentar.
110
Por outro lado, fica evidenciado com esta pesquisa que a computao em nuvem pode trazer
benefcios concretos para as instituies e organizaes que vierem a aderir a ela. Esta
questo fica patente nas concluses obtidas relativamente aos benefcios passveis de serem
auferidos com a computao em nuvem. Um elenco de benefcios relevantes foi compilado e
ordenado neste estudo e pode servir de guia para aqueles que ainda tenham dvidas ou
necessitem justificar sua entrada neste novo ambiente.
Contrapondo-se aos benefcios, os riscos tambm se apresentam como outro foco de ateno e
que, obrigatoriamente, deve ser considerado no processo de avaliao quanto viabilidade de
contratao de solues em nuvem. Como mencionado no tpico 2.2.1 deste documento, na
viso contempornea, riscos confrontam ameaas com benefcios e sua adequada
compreenso e gesto pode confinar as ameaas e abrir caminhos para que se usufrua dos
benefcios. Um extenso rol de riscos foi explorado neste estudo, parte deles extrados da
bibliografia consultada e parte aportados pelos painelistas, culminando com a elaborao de
um ranking dos 12 riscos considerados mais relevantes. De posse desse ranking e seguindo as
recomendaes explicitadas no tpico 5.2, instituies, organizaes e executivos de TI tm
sua disposio um instrumental capaz de auxili-los na compreenso dos riscos inerentes
computao em nuvem e a se autopreparar para gerenci-los, tornando a contratao de
servios em ambientes de computao em nuvem no privada uma tarefa mais segura.
Acreditamos que, com o trabalho realizado ao longo do painel Delphi, do qual participaram
executivos com ampla experincia de atuao em TI e acadmicos com largo envolvimento
com a TI, estes temas riscos, barreiras e benefcios, que se colocam entre os mais
significativos associados computao em nuvem, foram explorados em todas as suas
nuances e chegou-se a resultados prticos de valia.
Deve-se, entretanto, a favor da segurana, tratar com parcimnia os resultados obtidos neste
estudo, dadas as limitaes impostas pelo mtodo de pesquisa utilizado. Como todo mtodo
que se baseia na opinio de um grupo de especialistas secundados por um moderador, o
Delphi no est isento de incorporar vcios aos seus resultados, seja pelas restries impostas
pelo tamanho e pela composio do grupo de painelistas, seja pelos conhecimentos efetivos
de seus componentes sobre o tema da pesquisa ou ainda por falhas do processo aplicado e/ou
de interpretao e de capacidade de anlise do moderador.
111
Em decorrncia, este estudo deixa uma abertura para a realizao de pesquisas futuras sobre o
tema, com vistas a validar os resultados aqui obtidos, por meio do emprego de mtodos que
possibilitem realizar inferncias e generalizaes e que sejam isentos da opinio de um grupo
restrito de especialistas e da interveno de um moderador.
De todo modo, de se considerar que, com a aplicao de um justo senso crtico, os
resultados aqui apresentados possam ser utilizados para minorar os esforos de profissionais
de TI e de instituies e organizaes que pretendam dar seus primeiros passos no complexo
ambiente da computao em nuvem, bem como daqueles que, j devidamente inseridos e
partcipes desta opo tecnolgica, queiram ou tenham a necessidade de rever conceitos e
posies assumidos.
Como contribuio maior, este estudo oferece, acima de tudo, uma viso realista acerca da
computao em nuvem e coloca disposio daqueles que efetivamente por ela se interessam,
por vontade prpria ou dever de ofcio, um rol de observaes e recomendaes teis e
oportunas.
112
113
REFERNCIAS BIBLIOGRFICAS
ARMBRUST, Michael et al. Above the clouds: a Berkeley view of cloud computing.
Technical Report No. UCB/EECS-2009-28. Berkeley, CA (US): University of California,
Berkeley Electrical Engineering and Computer Sciences, 2009. Disponvel em: <http://
www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.pdf>. Acesso em 08/07/2010.
AYMERICH, Francesco Maria et al. An aproach to a cloud computing network. In:
Proceedings of the 1st International Conference on the Applications of Digital Information
and Web Technologies (ICADIWT). Washington, DC (US): IEEE Computer Society, p. 113118, Ago/2008.
BANDYOPADHYAY, Subhajyoti et al. Cloud computing: the business perspective.
Disponvel em: <http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1413545>. Acesso em
08/07/2010.
BITSCH, Friedemann. Safety patterns - the key to formal specification of safety requirements.
In: VOGES, Udo (Org.), Proceedings of the 20th Conference on Computer Safety,
Reliability and Security - SAFECOMP (Lecture Notes in Computer Science). Heidelberg:
Springer, v. 2187, p. 176-189, 2001.
BORGES, Eline Lima. Tratamento tpico de lcera venosa: proposta de uma diretriz
baseada em evidncias. Ribeiro Preto (SP), 2005. Tese (Doutorado em Enfermagem) Programa de Ps-Graduao em Enfermagem, Escola de Enfermagem de Ribeiro Preto da
Universidade de So Paulo.
BUYYA, Rajkumar et al. Cloud computing and emerging IT platforms: vision, hype, and
reality for delivering computing as the 5th utility. Future Generation Computer Systems.
Amsterdam: Elsevier, v. 25, n. 6, p. 599-616, Jun/2009.
CARR, Nicholas G. The big switch: rewiring the world, from Edison to Google. New York,
NY (US): W. W. Norton, 2008.
CLOUD SECURITY ALLIANCE (CSA). Security Guidance for Critical Areas of Focus in
Cloud Computing - Version 2.1. Cloud Security Alliance, Dez/2009.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION (COSO). Enterprise risk management - Integrated framework (executive
summary). COSO, Set/2004.
COSTA, Janana Anchieta. Atividades de enfermagem no centro de material e
esterilizao: subsdios para o dimensionamento de pessoal. So Paulo, 2009. Dissertao
(Mestrado em Enfermagem) - Programa de Ps-Graduao em Enfermagem, Escola de
Enfermagem da Universidade de So Paulo.
114
COSTA E SILVA, Angelo Just da. Mtodo para gesto das atividades de manuteno de
revestimentos de fachada. So Paulo, 2008. Tese (Doutorado em Engenharia) - Programa de
Ps-Graduao em Engenharia Civil, Departamento de Engenharia de Construo Civil,
Escola Politcnica da Universidade de So Paulo.
CROUHY, Michel et al. The essentials of risk management. New York, NY (US): McGrawHill, 2006.
CUNHA, Jacqueline V. A. da. Doutores em Cincias Contbeis da FEA/USP: anlise sob a
ptica da teoria do capital humano. So Paulo, 2007. Tese (Doutorado em Cincias
Contbeis) - Programa de Ps-Graduao em Cincias Contbeis, Departamento de
Contabilidade e Aturia, Faculdade de Economia, Administrao e Contabilidade da
CZINKOTA, Michael R.; RONKAINEN, Ilkka A. International business and trade in the
next decade: report from a Delphi study. Journal of International Business Studies. East
Lansing, MI (US): Academy of International Business, v. 28, n. 4, p. 827-844, Dez/1997.
DALKEY, Norman C. Delphi. Santa Monica, CA (US): Rand Corporation, Out/1967.
DALKEY, Norman C. The Delphi method: an experimental study of group opinion. Santa
Monica, CA (US): Rand Corporation, Jun/1969.
DALKEY, Norman C.; HELMER, Olaf. An experimental application of the Delphi method
to the use of experts. Santa Monica, CA (US): Rand Corporation, Jul/1962.
DANTAS, Manuela Modesto. Proposio de aes para melhoria da produtividade da
concretagem em edifcios verticais. So Paulo, 2006. Dissertao (Mestrado em Engenharia)
- Programa de Ps-Graduao em Engenharia Civil, Departamento de Engenharia de
Construo Civil, Escola Politcnica da Universidade de So Paulo.
DELBECQ, Andre L. et al. Group techniques for program planning. Chicago, IL (US):
Scott, Foresman, 1975.
ENOKI, Cesar Hidetoshi. Gesto de processos de negcio: uma contribuio para a
avaliao de solues de business process management (BPM) sob a tica da estratgia de
operaes. So Paulo, 2006. Dissertao (Mestrado em Engenharia) - Programa de PsGraduao em Engenharia de Produo, Departamento de Engenharia de Produo, Escola
Politcnica da Universidade de So Paulo.
EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY (ENISA). Cloud
computing: benefits, risks and recommendations for information security. Heraklion: ENISA,
Nov/2009.
115
EWALD, Franois. Insurance and risk. In: BURCHELL, Graham et al. The Foucault effect:
studies in governmentality. Chicago, IL (US): The University of Chicago Press, p. 197-210,
1991.
F5 NETWORKS. Cloud computing - Survey results. Seattle, WA (US): F5 Networks,
Jul/2009.
FRIEDMAN, Milton. A comparison of alternative tests of significance for the problem of m
rankings. The Annals of Mathematical Statistics. Beachwood, OH (US): Institute of
Mathematical Statistics, v. 11, n. 1, p. 86-92, Mar/1940.
GATEWOOD, Brent. Clouds on the information horizon: how to avoid the storm.
Information Management Journal. Overland Park, KS (US): ARMA International, v. 43, n.
4, p. 32-36, Jul-Ago/2009.
GIMENES, Celso Huerta. Formao de competncias gerenciais: um fator de
desenvolvimento de lideranas estudo de caso no IPEN. So Paulo, 2009. Dissertao
(Mestrado em Cincias) - Programa de Ps-Graduao em Cincias, Instituto de Pesquisas
Energticas e Nucleares.
GONTIJO, Liliane P. T. Construindo as competncias do cirurgio-dentista na ateno
primria em sade. Ribeiro Preto (SP), 2007. Tese (Doutorado em Sade Pblica) Programa de Ps-Graduao em Sade Pblica, Escola de Enfermagem de Ribeiro Preto da
GRAEFE, Andreas; ARMSTRONG, J. S. Comparing face-to-face meetings, nominal groups,
Delphi and prediction markets on an estimation task. International Journal of Forecasting.
Medford, MA (US): International Institute of Forecasters, v. 27, n. 1, p. 183-195, JanMar/2011.
GROSSMAN, Robert L. The case for cloud computing. IT Professional. Washington, DC
(US): IEEE Computer Society, v. 11, n. 2, p. 23-27, Mar-Abr/2009.
GUPTA, Uma G.; CLARKE, Robert E. Theory and applications of the Delphi technique: a
bibliography. Technological Forecasting and Social Change. Amsterdam: Elsevier, v. 53, n.
2, p. 185-211, Out/1996.
HABEGGER, Beat. Risk analysis and management in a dynamic risk landscape. In: ______
(Org.). International handbook on risk analysis and management. Zurich: ETH Zurich Center for Security Studies (CSS), p. 13-32, 2008.
HALLOWELL, Matthew R.; GAMBATESE, John A. Qualitative research: application of the
Delphi method to CEM research. Journal of Construction Engineering and Management.
Reston, VA (US): American Society of Civil Engineers, v. 136, n. 1, p. 99-107, Jan/2010.
116
HOLSAPPLE, P.; JOSHI, K. Knowledge manipulation activities: results of a Delphi study.

Information and Management. Amsterdam: Elsevier, v. 39, n. 6, p. 477-490, Mai/2002.
INTERNATIONAL DATA CORPORATION (IDC). IDC's public IT cloud services
forecast: new numbers, same disruptive story. Disponvel em: <http://blogs.idc.com/ie/?p=
922>. Postado por Frank Gens em 01/07/2010. Acesso em 04/11/2010.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO). ISO 31000:2009
- Risk management - Principles and guidelines. Geneve: ISO, Nov/2009.
ISAAC, Stephen, MICHAEL, William B. Handbook in research and evaluation. 3rd ed. San
Diego, CA (US): Educational and Industrial Testing Services, 1997.
JENSEN, Meiko et al. On technical security issues in cloud computing. In: Proceedings of
the IEEE International Conference on Cloud Computing. Washington, DC (US): IEEE
Computer Society, p. 109-116, 2009.
JERICHO FORUM. Cloud cube model: selecting cloud formations for secure collaboration.
San Francisco, CA (US): Jericho Forum, Abr/2009.
KENDALL, Maurice G. The treatment of ties in ranking problems. Biometrika. Oxford
(UK): Biometrika Trust, v. 33, n. 3, p. 239-251, Nov/1945.
KENDALL, Maurice G.; SMITH, Bernard B. The problem of m rankings. The Annals of
Mathematical Statistics. Beachwood, OH (US): Institute of Mathematical Statistics, v. 10, n.
3, p. 275-287, Set/1939.
KIM, Won. Cloud computing: today and tomorrow. Journal of Object Technology. Zurich:
ETH Zurich, v. 8, n. 1, p. 65-72, Jan-Fev/2009.
KLIEM, Ralph L. Risk management for business process reengineering projects.
Information Systems Management. Oxford, UK: Taylor and Francis, v. 17, n. 4, p. 1-3,
Set/2000.
KUWABARA, Cleuza C. T. Gerenciamento de risco em tecnovigilncia: aplicao dos
conceitos Seis Sigma e tcnica Delphi para o desenvolvimento e validao de instrumento de
avaliao de material mdico-hospitalar. Ribeiro Preto (SP), 2009. Tese (Doutorado em
Enfermagem) - Programa de Ps-Graduao em Enfermagem, Escola de Enfermagem de
Ribeiro Preto da Universidade de So Paulo.
LIMA, Emanoel Marcos. Anlise comparativa entre o ndice disclosure e a importncia
atribuda por stakeholders a informaes consideradas relevantes para fins de
divulgao em instituies de ensino superior filantrpicas do Brasil: uma abordagem da
teoria da divulgao. So Paulo, 2009. Tese (Doutorado em Cincias Contbeis) - Programa
117
de Ps-Graduao em Cincias Contbeis, Departamento de Contabilidade e Aturia,

Faculdade de Economia, Administrao e Contabilidade da Universidade de So Paulo.
LINSTONE, Harold A.; TUROFF, Murray. Introduction. In: LINSTONE, Harold A.;
TUROFF, Murray (Org.). The Delphi method: techniques and applications. Reading, MA
(US): Addison-Wesley, 1975.
LEVESON, Nancy G. Applying systems thinking to analyze and learn from events. Safety
Science. Amsterdam: Elsevier, v. 49, n. 1, p. 55-64, Jan/2011 (disponvel online em
25/01/2010).
LYRA, Ricardo Luis W. C. de. Anlise hierrquica dos indicadores contbeis sob a ptica
do desempenho empresarial. So Paulo, 2008. Tese (Doutorado em Cincias Contbeis) Programa de Ps-Graduao em Cincias Contbeis, Departamento de Contabilidade e
Aturia, Faculdade de Economia, Administrao e Contabilidade da Universidade de So
Paulo.
MARKS, Eric A.; LOZANO, Roberto R. Executive's guide to cloud computing. Hoboken,
NJ (US): John Wiley, 2010.
MEDEIROS JR., Alberto de. Sistemas integrados de gesto: proposta para um procedimento
de deciso multi-critrios para avaliao estratgica. So Paulo, 2007. Tese (Doutorado em
Engenharia) - Programa de Ps-Graduao em Engenharia de Produo, Departamento de
Engenharia de Produo, Escola Politcnica da Universidade de So Paulo.
MILLER, Michael. Cloud computing: web-based applications that change the way you work
and collaborate online. Indianapolis, IN (US): Que Publishing, 2008.
NAKANO, Milton Satocy. Previso tecnolgica a mdio e longo prazo sobre os processos
de gerao de hidrognio, considerando cenrios futuros probabilsticos que levem em
conta o desenvolvimento das pilhas a combustvel. So Paulo, 2009. Dissertao (Mestrado
em Cincias) - Programa de Ps-Graduao em Cincias, Instituto de Pesquisas Energticas e
Nucleares.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). The NIST
definition of cloud computing. Gaithersburg, MD (US): NIST, Jul/2009.
OKOLI, Chitu; PAWLOWSKI, Suzanne D. The Delphi method as a research tool: an
example, design considerations and applications. Information&Management. Amsterdam:
Elsevier, v. 42, n. 1, p. 15-29, Dez/2004.
OPENCROWD. Cloud taxonomy. New York, NY (US): OpenCrowd, 2010. Disponvel em:
<http://www.opencrowd.com/assets/images/views/views_cloud-tax-lrg.png>. Acesso em
04/11/2010.
118
QIAN, Ling et al. Cloud computing: an overview. In: JAATUN, Martin G. et al. (Org.),
Proceedings of the 1st Conference on Cloud Computing (Lecture Notes in Computer
Science). Heidelberg: Springer, v. 5931, p. 626-631, Dez/2009.
PADILHA, Maria Luiza de M. L. Indicadores de desenvolvimento sustentvel para o setor
txtil. So Paulo, 2009. Tese (Doutorado em Sade Pblica) - Programa de Ps-Graduao
em Sade Pblica, Faculdade de Sade Pblica da Universidade de So Paulo.
PERROCA, Marcia Galan. Sistema de classificao de pacientes: construo e validao de
um instrumento. So Paulo, 1996. Dissertao (Mestrado em Enfermagem) - Programa de
Ps-Graduao em Enfermagem, Escola de Enfermagem da Universidade de So Paulo.
RAND CORPORATION. 2004 Annual report: building on a legacy. Santa Monica, CA
(US): Rand Corporation, 2005.
RAZ, Tzvi; HILLSON, David. A comparative review of risk management standards. Risk
Management: An International Journal. Hampshire, UK: Palgrave Macmillan, v. 7, n. 4, p.
53-66, Out/2005.
RIBEIRO, Maria Alice M. Contribuio ao estudo do impacto ambiental das pilhas a
combustvel de baixa e mdia temperatura atravs da metodologia Delphi. So Paulo,
2009. Tese (Doutorado em Cincias) - Programa de Ps-Graduao em Cincias, Instituto de
Pesquisas Energticas e Nucleares.
ROCHA, Marcos Augusto. Estudo das habilidades tcnicas do ataque na posio quatro
do voleibol. So Paulo, 2009. Tese (Doutorado em Educao Fsica e Esporte) - Programa de
Ps-Graduao em Educao Fsica e Esporte, Escola de Educao Fsica e Esporte da
ROWE, Gene et al. Delphi: a reevaluation of research and theory. Technological
Forecasting and Social Change. Amsterdam: Elsevier, v. 39, n. 3, p. 235-251, Mai/1991.
ROWE, Gene; WRIGHT, George. The Delphi technique as a forecasting tool: issues and
analysis. International Journal of Forecasting. Amsterdam: Elsevier, v. 15, n. 4, p. 353375, Out/1999.
ROWE, Gene; WRIGHT, George. Expert opinions in forecasting: the role of the Delphi
technique. In: ARMSTRONG, Jon Scott (Org.), Principles of forecasting: a handbook for
researchers and practiotioners (International Series in Operations Research & Management
Sciences). Heidelberg: Springer, v. 30, p. 125-144, 2001.
SANTOS, Carlos Roberto dos. ndice de qualidade laboratorial (IQL): uma proposta para
laboratrios de controle ambiental. So Paulo, 2009. Tese (Doutorado em Sade Pblica) Programa de Ps-Graduao em Sade Pblica, Faculdade de Sade Pblica da Universidade
de So Paulo.
119
SCARPARO, Ariane Fazzolo. Auditoria de enfermagem identificando sua concepo e

mtodos. Ribeiro Preto (SP), 2007. Dissertao (Mestrado em Enfermagem) - Programa de
Ps-Graduao em Enfermagem, Escola de Enfermagem de Ribeiro Preto da Universidade
de So Paulo.
SCHMIDT, Roy C. Managing Delphi surveys using nonparametric statistical techniques.
Decision Sciences Journal. Hoboken, NJ (US): Wiley-Blackwell, v. 28, n. 3, p. 763-774,
Vero/1997.
SILVA, Luana Torelli da. Construo e validao de um instrumento para avaliao de
ocorrncia de problemas ticos na ateno bsica. So Paulo, 2008. Dissertao (Mestrado
em Enfermagem) - Programa de Ps-Graduao em Enfermagem, Escola de Enfermagem da
SKULMOSKI, Gregory J. et al. The Delphi method for graduate research. Journal of
Information Technology Education, v. 6, p. 1-21, 2007.
SMITH, Roger. Computing in the cloud. Research-Technology Management. Industrial
Research Institute, v. 52, n. 5, p. 65-68, Set-Out/2009.
STATEN, James et al. Is cloud computing ready for the enterprise? Cambridge, MA (US):
Forrester Research, Mar/2008.
UNITED STATES DEPARTMENT OF DEFENSE. MIL-STD-882D - Standard practice for
system safety. Fev/2000.
VELTRI, Anthony. Expected use of management principles for safety function
management. Morgantown, WV (US), 1985. Tese (Doutorado) - West Virginia University
apud HALLOWELL, Matthew R.; GAMBATESE, John A. Qualitative research: application
of the Delphi method to CEM research. Journal of Construction Engineering and
Management. Reston, VA (US): American Society of Civil Engineers, v. 136, n. 1, p. 99107, Jan/2010.
VERAS, Manoel. Datacenter: componente central da infraestrutura de TI. Rio de Janeiro:
Brasport, 2009.
VERONEZI, Ana Beatriz P. Sistema de certificao da qualidade de edifcios de
escritrios no Brasil. So Paulo, 2004. Dissertao (Mestrado em Engenharia) - Programa de
Ps-Graduao em Engenharia Civil, Departamento de Engenharia de Construo Civil,
Escola Politcnica da Universidade de So Paulo.
VIEHLAND, D.; HUGHES, J. The future of the wireless application protocol. In:
Proceedings of the 8th Americas Conference on Information Systems (AMCIS). Dallas, TX
(US): Association for Information Systems, p. 18831891, Ago/2002.
120
VIEIRA, Simone S. da C. Avaliao de programas de educao continuada: anlise da

percepo do aluno e do seu modelo de deciso para escolha de programas de especializao
para executivos no Brasil. So Paulo, 2009. Tese (Doutorado em Cincias Contbeis) Programa de Ps-Graduao em Cincias Contbeis, Departamento de Contabilidade e
Aturia, Faculdade de Economia, Administrao e Contabilidade da Universidade de So
Paulo.
WEISS, Aaron. Computing in the clouds. NetWorker. New York, NY (US): Association for
Computing Machinery (ACM), v. 11, n. 4, p. 16-25, Dez/2007.
WENGER, Andreas et al. Preface. In: Habegger, Beat (Org.), International handbook on
risk analysis and management. Zurich: ETH Zurich - Center for Security Studies (CSS),
2008.
WESTERMAN, George; HUNTER, Richard. IT risk: turning business threats into
competitive advantage. Boston, MA (US): Harvard Business School Press, 2007.
WITT, Regina Rigatto. Competncias da enfermeira na ateno bsica: contribuio
construo das funes essenciais de sade pblica. Ribeiro Preto (SP), 2005. Tese
(Doutorado em Enfermagem) - Programa de Ps-Graduao em Enfermagem, Escola de
Enfermagem de Ribeiro Preto da Universidade de So Paulo.
121
APNDICES
Apndice 1 Dissertaes e Teses de Autores Brasileiros Empregando o Mtodo Delphi .. 122
Apndice 2 Questionrios Aplicados no Painel Delphi ...................................................... 124
Apndice 3 Resumo do Perfil dos Painelistas ..................................................................... 138
Apndice 4 Variveis e Frmulas de Clculo Relativas ao Painel Delphi.......................... 140
122
Apndice 1 Dissertaes e Teses de Autores Brasileiros

Empregando o Mtodo Delphi
Ano Autor
rea
Ttulo
1996 Marcia Galan

Perroca
Enfermagem
Sistema de classificao de pacientes: construo e

validao de um instrumento
2004 Ana Beatriz Poli

Veronezi
Engenharia
Civil
Sistema de certificao da qualidade de edifcios de

escritrios no Brasil
2005 Eline Lima Borges
Enfermagem
Tratamento tpico de lcera venosa: proposta de uma

diretriz baseada em evidncias
2005 Regina Rigatto Witt
Enfermagem
Competncias da enfermeira na ateno bsica:

contribuio construo das funes essenciais de sade
pblica
2006 Cesar Hidetoshi

Enoki
Engenharia de Gesto de processos de negcio: uma contribuio para a

Produo
avaliao de solues de BPM sob a tica da estratgia de
operaes
2006 Manuela Modesto

Dantas
Engenharia
Civil
Proposio de aes para melhoria da produtividade da

concretagem em edifcios verticais
2007 Alberto de Medeiros

Jr.
TI
Sistemas integrados de gesto: proposta para um

procedimento de deciso multi-critrios para avaliao
estratgica
2007 Ariane Fazzolo

Scarparo
Enfermagem
Auditoria de enfermagem identificando sua concepo e

mtodos
2007 Jacqueline Veneroso

Alves da Cunha
Recursos
Humanos
Doutores em Cincias Contbeis da FEA/USP: anlise sob

a ptica da teoria do capital humano
2007 Liliane Parreira

Tanns Gontijo
Sade Pblica Construindo as competncias do cirurgio-dentista na

ateno primria em sade
2008 Angelo Just da Costa Engenharia

e Silva
Civil
Mtodo para gesto das atividades de manuteno de

revestimentos de fachada
2008 Luana Torelli da

Silva
Enfermagem
Construo e validao de um instrumento para avaliao

de ocorrncia de problemas ticos na ateno bsica
2008 Ricardo Luis Wust

Corra de Lyra
Administrao Anlise hierrquica dos indicadores contbeis sob a ptica

do desempenho empresarial
2009 Carlos Roberto dos

Santos
Sade
Ambiental
ndice de qualidade laboratorial (IQL):uma proposta para

laboratrios de controle ambiental
2009 Celso Huerta Gimenes Recursos

Humanos
Formao de competncias gerenciais: um fator de

desenvolvimento de lideranas estudo de caso no IPEN
2009 Cleuza Catsue Takeda Enfermagem

Kuwabara
Gerenciamento de risco em tecnovigilncia: aplicao dos

conceitos Seis Sigma e tcnica Delphi para o
desenvolvimento e validao de instrumento de avaliao
de material mdico-hospitalar
2009 Emanoel Marcos

Lima
Contabilidade Anlise comparativa entre o ndice disclosure e a

importncia atribuda por stakeholders a informaes
consideradas relevantes para fins de divulgao em
instituies de ensino superior filantrpicas no Brasil: uma
abordagem da teoria da divulgao
123
Ano Autor
rea
Ttulo
2009 Janana Anchieta

Costa
Enfermagem
Atividades de enfermagem no centro de material e

esterilizao: subsdios para o dimensionamento de pessoal
2009 Marcos Augusto

Rocha
Esporte
Estudo das habilidades tcnicas do ataque na posio

quatro do voleibol
2009 Maria Alice Morato

Ribeiro
Tecnologia
Nuclear
Contribuio ao estudo do impacto ambiental das pilhas a

combustvel de baixa e mdia temperatura atravs da
metodologia Delphi
2009 Maria Luiza de

Moraes Leonel
Padilha
Sade Pblica Indicadores de desenvolvimento sustentvel para o setor

txtil
2009 Milton Satocy Nakano Tecnologia

Nuclear
Previso tecnolgica a mdio e longo prazo sobre os

processos de gerao de hidrognio, considerando cenrios
futuros probabilsticos que levem em conta o
desenvolvimento das pilhas a combustvel
2009 Simone Silva da

Cunha Vieira
Avaliao de programas de educao continuada: anlise

da percepo do aluno e do seu modelo de deciso para
escolha de programas de especializao de executivos no
Brasil
Educao
124
Apndice 2 Questionrios Aplicados no Painel Delphi
Questionrio do Ciclo 0
125
126
127
128
129
130
131
132
133
134
135
136
137
Nota: foram preparados e enviados questionrios individuais personalizados, incluindo entre os

parnteses presentes nos itens das questes 2 e 3 (que no modelo aparecem sem contedo) os rankings
especficos de cada painelista.
138
Apndice 3 Resumo do Perfil dos Painelistas
Acadmicos:
Formao
Atividades Acadmicas
Atividades Complementares
1 Administrador de Empresas
Professor em cursos de
Coordenador Adjunto do
graduao
e
ps-graduao
Programa de Doutorado em
Especializado em Economia
na
Universidade
Federal
do
Administrao da
Mestre e Doutor em Administrao
Rio
Grande
do
Sul
Universidade Federal do Rio
de Empresas
Grande do Sul
2 Engenheiro Mecnico de Produo Professor em cursos de
Consultor autnomo nas
graduao e especializao
reas de tecnologia da
Ps-Graduado em Administrao
para graduados na Escola de informao, reestruturao
de Empresas
organizacional,
Administrao de Empresas
Mestre e Doutor em Administrao
desenvolvimento de
de
So
Paulo
da
Fundao
de Empresas, com nfase em
Getlio
Vargas
atividades empresariais,
Sistemas de Informao
desenho e implantao de
Professor do MBA da
sistemas de planejamento e
Business School de So
controle e investimentos
Paulo
3 Engenheiro e Mestre em
Engenharia Eltrica
Doutor em Administrao de
Empresas
Professor em cursos de
graduao, especializao
para graduados e psgraduao na Universidade
Federal do Rio Grande do
Norte
Coordenador de cursos de
especializao na
Universidade Federal do Rio
Grande do Norte
Profissionais de TI:
Cargos e Organizaes
Ttulos dos
Cargos
Ocupados
Gerente Executivo de TI
Diretor de TI e Processos
Assessor de Tecnologia da Informao
CIO Latin America
Diretor
Chefe do Departamento de Informtica
Gerente de TI
Gerente de Infra-estrutura de TI
Diretor Administrativo
Assessor de TI
Diretor de Operaes e TI
IT Director International for Sales&Ops
Coordenador de TI
Ramos de
Atividade e
Tamanho da
rea de TI *
Tecnologia da Informao
Cartes de Benefcios
Servios Financeiros
Banco
Indstria Grfica
Servios Postais
Agro-negcio
Integrao e Gesto de Programas de Fidelizao
Prestao de Servios em TI
Bureau de Crdito
Energia Eltrica
Indstria e Distribuio de Produtos para Panificao
Indstria de Bens Durveis e de Consumo
50 (150)
450 (400)
70 (30)
100 (30)
9 (6)
3000 (150)
800 (400)
82 (400)
10 (0)
500 (250)
100 (15)
3 (0)
no informado
* Os nmeros frente dos ramos de atividade indicam as quantidades de profissionais alocados atividade de TI,
funcionrios contratados e terceiros, estes entre parnteses.
139
Qualificao Profissional
Grau de Conhecimento
Disciplina
Pleno
Bom
Mediano
Razovel
Mnimo
TI vista como utilidade
Gesto de investimentos em TI
Aquisio de servios de terceiros em TI
Computao em nuvem
Riscos em TI
Gesto de Riscos
Publicaes de Referncia
Publicao / Editor
L frequentemente L esporadicamente
No l
No conhece
InfoExame
Computerworld
Computerworld Brasil
CIO Magazine
CIO Magazine Brasil

InformationWeek
InformationWeek Brasil
TI Inside
Gartner Group
Forrester Research
IDC
Aberdeen
ACM
IEEE
McKinsey
FGV
140
Apndice 4 Variveis e Frmulas de Clculo Relativas ao Painel Delphi
Varivel / Definio
Frmula
rankkj Peso atribudo a uma posio ocupada por um elemento

k numa lista ordenada j
Rk
Soma dos ranks de um elemento k em j listas ordenadas

elaboradas num tema de um painel; indica a posio do
elemento na lista ordenada coletiva
Rk = rank kj
j
Quantidade de elementos em uma lista ordenada
Quantidade de listas individuais ordenadas elaboradas

num tema de um painel
Mdia da soma dos ranks do total de elementos de um

conjunto de listas ordenadas elaboradas num tema de
um painel
x = m(n + 1) / 2
Xk
Diferena entre a soma dos ranks de um elemento k e a

mdia
X k = Rk x
Yk
Quadrado da diferena entre a soma dos ranks de um

elemento k e a mdia
Yk = X k
Soma dos quadrados das diferenas entre a soma dos

ranks de um elemento k e a mdia
S = Yk
tij
Quantidade de elementos no i-simo grupo de empates

numa lista ordenada j
Tj
Fator de ajuste relativo ao total de empates numa lista

ordenada j
T j = (tij3 tij ) / 12
Coeficiente de concordncia (quando no h empates, a

ltima parcela suprimida, pois igual a 0)
W = S /(( n 3 n) m 2 / 12 m T j )
Chi-quadrado, com (n-1) graus de liberdade, utilizado

para avaliar a significncia de W
2 = m(n 1)W

Sidney Chaves VC

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Sidney Chaves VC

Caricato da

Copyright:

Formati disponibili

UNIVERSIDADE DE SO PAULO

FACULDADE DE ECONOMIA, ADMINISTRAO E CONTABILIDADE

A QUESTO DOS RISCOS EM AMBIENTES

Prof. Dr. Joo Grandino Rodas

A QUESTO DOS RISCOS EM AMBIENTES

Dissertao apresentada ao Departamento de

Orientador: Prof. Dr. Cesar Alexandre de Souza

Dissertao defendida e aprovada no Departamento de

Para Mnica, querida companheira de todos

"Nada to poderoso no mundo como uma

Montagem do Grupo de Painelistas ........................................................................... 74

5 Recomendaes para o Tratamento dos Riscos Inerentes Computao em Nuvem ....... 97

Esta nova forma de prestao de servios de TI foi rotulada "computao em nuvem",

Co-locao (ISP 3.0)

Nuvem (ISP 5.0)

ASP (ISP 4.0)

FONTE: Adaptado de STATEN et al.; 2008; p. 7.

Apesar de se constituir numa modalidade relativamente nova de terceirizao de servios de

2014 (Total = US$ 55,5 Bi)

FONTE: Adaptado de IDC; 2010.

Vm sendo notados esforos por parte da comunidade de fornecedores, no sentido de tornar

Identificar e apresentar, de uma maneira ordenada, as propostas at ento colocadas para o

Explicitar as semelhanas e divergncias verificadas nas distintas proposies

Explorar e verificar a pertinncia e adequao das recomendaes constantes das

Propor um elenco de recomendaes endereadas ao tratamento dos riscos em ambientes

Complementando o objetivo principal acima explicitado, fixaram-se os seguintes objetivos

Identificar os benefcios potenciais citados em estudos acadmicos como passveis de ser

Identificar e apresentar, de maneira ordenada, as propostas oriundas do meio acadmico

Explicitar semelhanas, divergncias, pontos fortes e deficincias das distintas propostas

Explorar e verificar a pertinncia e adequao dos benefcios apontados e das

Justificativa para o Estudo

Tendo em vista o tema central e a questo de pesquisa definidos e ainda os objetivos

Fase 1 Reviso da literatura e consideraes:

Contemplou uma ampla reviso da literatura referente ao tema central da pesquisa, a

Fase 2 Escolha e estruturao do mtodo de pesquisa:

Adicionalmente, englobou a definio da sistemtica de aplicao do mtodo Delphi a

Fase 3 Realizao do painel Delphi:

Objetivou a estruturao e realizao propriamente ditas do painel e contemplou ainda a

Fase 4 Proposio de recomendaes para o tratamento dos riscos:

Fase 5 Concluses e consideraes finais:

Compreendeu a elaborao das concluses e consideraes finais, luz dos resultados

REVISO DA LITERATURA E CONSIDERAES

Neste captulo so abordados, de incio, os conceitos de computao em nuvem, risco,

"Estilo de computao no qual recursos de TI, massivamente escalveis, so

"Um conjunto de infra-estruturas gerenciadas, abstratas e altamente escalveis, capazes

"Um estilo de computao no qual recursos dinamicamente escalveis e, em geral,

"Iluso de recursos infinitos de computao disponveis sob demanda, eliminando

FONTE: Adaptado de SMITH; 2009; p. 66.

"O conceito de nuvem lida com muitas tecnologias e arquiteturas j existentes. A

2009 Armbrust et al.

"Computao em nuvem refere-se tanto s aplicaes disponibilizadas via

2009 Bandyopadhyay " um modelo de servio em TI no qual os servios de computao (tanto de

2009 Bandyopadhyay incorrer em investimentos iniciais de porte, e os servios em nuvem empregam

"Uma nuvem um tipo de sistema paralelo e distribudo, composto por um

"Em geral, nuvens so grandes conjuntos de recursos virtuais de fcil acesso e

"Nuvens, ou clusters de computadores distribudos, provem recursos e servios

"Talvez a definio mais simples para computao em nuvem seja a capacidade

2009 Qian et al.

"Computao em nuvem um tipo de tcnica computacional na qual servios de

"Em essncia, computao em nuvem uma forma de alugar computadores,

"Na verdade, o conceito de computao em nuvem vem se aprimorando ao

Em adio s definies apresentadas nos Quadros 1 e 2, adequado mencionar a definio

Bandyopadhyay et al. (2009) destacam que a computao em nuvem representa a