IBGP Responde – Desafios nas Contratações de Serviços em Nuvem Computacional

O professor Breno Costa responde as perguntas mais relevantes associadas ao tema Desafios nas Contratações de Serviços em Nuvem Computacional, envolvendo:

• Contratações em nuvem
• Desafios contratuais
• Compliance em nuvem
• Segurança de dados em nuvem
• Gestão de riscos
• Governança de nuvem
• Modelos de aquisição
• Mitigação de falhas

O IBGP recomenda uma visita à página do Curso Contratando Serviços de Computação em Nuvem no Setor Público do Professor clicando da imagem abaixo.

 

Quais são as principais características da chamada “primeira onda” de adoção da computação em nuvem no setor público brasileiro?

A chamada “primeira onda” da adoção de nuvem no setor público brasileiro, que se estende de aproximadamente 2015 a 2020, foi marcada por um cenário de baixa maturidade técnica das organizações públicas em relação ao tema. Como reflexo desse contexto, a maior parte das contratações se deu por meio de modelos operacionais mediados por brokers — empresas integradoras especializadas em serviços de nuvem, contratadas para facilitar a interação entre os órgãos públicos e os grandes provedores (como AWS, Microsoft e Google).

Nessa fase, o modelo de remuneração mais comum foi baseado na Unidade de Serviços de Nuvem (USN), uma métrica adaptada ao padrão da Administração Pública, embora não padronizada no mercado. Outro elemento característico foi não haver escolha prévia do provedor: em geral, não se definia o fornecedor a priori, e o broker indicava a solução mais adequada, de acordo com os critérios estabelecidos.

Além disso, os contratos adotavam, em sua maioria, catálogos fixos de serviços, o que restringia a capacidade de inovação, já que novos serviços lançados após a assinatura contratual não podiam ser incluídos sem aditivos. Essa fase, embora fundamental como porta de entrada, demonstrou rapidamente suas limitações e preparou o caminho para uma abordagem mais flexível, como a que caracterizaria a “segunda onda”.

 

O que diferencia a “segunda onda” de contratações de nuvem iniciada em 2021?

A “segunda onda” de contratações de nuvem, iniciada a partir de 2021, é caracterizada por uma maior diversidade de modelos operacionais, contratuais e estratégicos. Essa mudança decorre da consolidação das experiências obtidas na fase anterior e da elevação gradual da maturidade institucional de diversos órgãos públicos.

Diferentemente da primeira fase, onde predominavam os brokers como intermediários únicos, a segunda onda abre espaço para múltiplas estratégias, como os Centros de Excelência em Nuvem (CCoE), equipes internas especializadas e modelos híbridos de gestão de nuvem. Além disso, os contratos passaram a incorporar catálogos flexíveis, permitindo a inclusão de novos serviços disponibilizados pelos provedores durante a vigência contratual, sem a necessidade de aditivos.

Outro avanço importante foi a diversificação dos modelos de remuneração. Além do USN, surgem unidades como o USIN e os créditos de nuvem (CSB), permitindo que a remuneração seja mais próxima do consumo real e da lógica de mercado.

A publicação da Portaria SGD nº 5950/2023 contribuiu para a normatização dos modelos operacionais e de remuneração. A Portaria também ajudou a consolidar requisitos de segurança estratégicos, complementando os requisitos operacionais de segurança, já publicados na IN GSI/PR N^o 5. Essa fase representa a transição do uso experimental para a adoção estratégica da nuvem como infraestrutura crítica.

 

Qual é o papel dos Acórdãos 157/2023 e 292/2024 do TCU nas contratações em nuvem?

Os Acórdãos 157/2024 e 292/2025 do Tribunal de Contas da União (TCU) representam marcos regulatórios que consolidam as práticas relacionadas às contratações de serviços em nuvem no setor público. Diferente do acórdão 1739/2015, que tinha um tom mais exploratório, esses documentos são resultado de acompanhamentos concretos de contratações de grande materialidade e complexidade, como a contratação conjunta entre TCU, CNJ e CGU (Acórdão 157/2024) e a contratação centralizada conduzida pelo MGI (Acórdão 292/2025).

Esses acórdãos não criam novas restrições, mas buscam consolidar boas práticas e apontar riscos que devem ser gerenciados pelos gestores públicos. Entre os principais pontos abordados estão:

• A preocupação com o “objeto indefinido” em contratos com catálogos flexíveis;
• O risco de “burla ao processo licitatório” por meio do uso inadequado de marketplaces de provedores;
• A necessidade de melhor governança sobre os custos, com destaque para a utilização de FinOps.

Além disso, o TCU também apontou a ausência de estratégias institucionais e nacionais para uso de nuvem, cobrando maior alinhamento entre contratações e objetivos estratégicos. Com isso, os acórdãos passam a servir como instrumentos de orientação e qualificação técnica dos gestores públicos, reforçando o papel da nuvem como vetor de modernização.

(continua na próxima resposta com as perguntas 4 a 15, conforme solicitado)

Dando continuidade, seguem as perguntas 4 a 15, com respostas analíticas e amplas, todas baseadas no conteúdo do podcast “Desafios nas Contratações de Serviços em Nuvem Computacional”.

 

Por que a contratação de nuvem pública é considerada estratégica para a sustentabilidade do setor público?

A computação em nuvem pública oferece escalabilidade, flexibilidade e inovação com maior velocidade, características essenciais para a modernização da gestão pública. Segundo o Gartner, organizações que não possuem estratégia de nuvem em 2025 serão vistas da mesma forma que empresas que, em 2000, não utilizavam a internet — um anacronismo institucional.

Do ponto de vista da sustentabilidade, a nuvem resolve desafios que vão desde a imprevisibilidade da demanda por serviços digitais até a obsolescência tecnológica. Em vez de adquirir infraestrutura própria com capacidade ociosa e alto custo de manutenção, a administração pública pode contratar sob demanda, com maior aderência às necessidades reais.

Além disso, o uso da nuvem favorece a integração de dados, o desenvolvimento de serviços públicos digitais centrados no cidadão e a rápida adoção de novas tecnologias, como inteligência artificial generativa. A ausência de uma estratégia de nuvem pode levar a desperdício de recursos, fragmentação de dados e perda de competitividade estatal frente às necessidades da sociedade.

Portanto, a nuvem não é apenas uma tendência tecnológica — é um requisito estrutural para garantir a continuidade, a eficiência e a inovação no serviço público.

 

Como o modelo de catálogo flexível pode ser vantajoso nas contratações públicas?

O modelo de catálogo flexível permite que novos serviços ofertados pelos provedores de nuvem, mesmo que não existam no momento da contratação, possam ser adquiridos dentro do contrato vigente. Essa flexibilidade tem se mostrado fundamental para que os órgãos públicos possam acessar inovações tecnológicas de forma ágil, sem a necessidade de iniciar novos processos licitatórios.

Um exemplo concreto citado no podcast é a adoção do ChatGPT pelo TCU, viabilizada pela contratação com catálogo flexível. Assim que o serviço foi disponibilizado pela Microsoft no ambiente de nuvem Azure, o órgão pôde acessá-lo imediatamente, integrando-o a soluções internas sem restrições contratuais.

Apesar da crítica de que o modelo pode gerar risco de “objeto indefinido”, esse risco é gerenciável. A maioria dos serviços de nuvem passa por processos de homologação rigorosos, e eventuais alterações nos catálogos são comunicadas com antecedência. Além disso, o controle interno e os critérios técnicos de governança permitem que a administração defina limites e valide o uso dos novos serviços de forma segura.

Logo, o catálogo flexível não é apenas viável juridicamente, como é estrategicamente desejável para garantir acesso contínuo à inovação.

 

Qual a importância da governança de nuvem no setor público?

A governança de nuvem é o conjunto de estruturas, políticas, práticas e controles que orientam o uso responsável, seguro e eficiente dos serviços em nuvem. No setor público, essa governança é ainda mais crítica, pois envolve a prestação de serviços essenciais à população, o uso de recursos públicos e o cumprimento de normativas legais.

Sem governança, a nuvem pode se tornar um “buraco negro orçamentário”, com consumo descontrolado, gastos não rastreáveis e riscos à integridade da informação. Uma boa política de governança define quem pode requisitar serviços, como se dão as aprovações, quais são os limites de gastos, como é feita a prestação de contas e quais ferramentas são usadas para monitoramento e auditoria.

A governança também é o caminho para distribuir responsabilidades de forma transparente e alinhar as operações de nuvem aos objetivos estratégicos da organização. Ela permite o uso de frameworks como o FinOps, que transforma o controle de custos em um processo contínuo e colaborativo.

Assim, mais do que controlar, governar a nuvem significa estruturar uma base sustentável para a transformação digital do Estado brasileiro.

 

O que é FinOps e como ele contribui para a gestão da nuvem?

FinOps (Finanças e DevOps) é uma abordagem de gestão do valor gerado com uso da nuvem, que combina práticas financeiras, operacionais e técnicas para garantir que os recursos contratados sejam usados de forma eficiente e alinhados ao valor gerado para a organização.

A principal característica da nuvem é o pagamento por uso. Isso exige um modelo de gestão diferente das aquisições tradicionais de TI, que envolviam compra de infraestrutura física e orçamentos fixos. Com FinOps, as equipes acompanham o consumo em tempo real, identificam anomalias, alocam custos por centro de responsabilidade e ajustam orçamentos conforme as metas de entrega de valor.

No setor público, a adoção de FinOps pode aumentar a transparência, refinar o planejamento orçamentário e garantir controle em contratações com grande variabilidade de consumo, como as de serviços em nuvem. Ele também facilita o diálogo entre as áreas de TI, gestão e controle interno, criando uma cultura de tomada de decisão baseada em dados e evidências de uso.

A CGU e o TCU já recomendaram expressamente a adoção de práticas de FinOps em seus pareceres recentes, reforçando que a governança de nuvem só será efetiva com visibilidade e gestão ativa dos custos.

 

Como a ausência de uma estratégia nacional para uso da nuvem afeta os órgãos públicos?

A inexistência de uma estratégia nacional para uso da nuvem cria um vácuo institucional, onde cada órgão define sua própria rota, muitas vezes sem alinhamento com diretrizes de longo prazo da Administração Pública. Isso leva à dispersão de esforços, contratação de soluções incompatíveis, desperdício de recursos e aumento do risco institucional.

Países como Estados Unidos, Austrália e Reino Unido já possuem planos nacionais de computação em nuvem, que definem metas, padrões mínimos, diretrizes para interoperabilidade e critérios para avaliação de desempenho. No Brasil, embora exista a Estratégia de Governo Digital (EGD), ela não trata especificamente da nuvem pública, tampouco estabelece metas ou planos de migração.

Essa lacuna impede que órgãos com baixa maturidade avancem de forma estruturada, e desobriga os mais maduros a seguir parâmetros comuns. A criação de uma coordenação nacional de nuvem, como começou a ser articulada pelo MGI após os acórdãos do TCU, é um passo inicial, mas ainda insuficiente.

A falta dessa estratégia compromete não só a eficiência das contratações, mas também a integração de serviços, a segurança cibernética e a sustentabilidade da transformação digital no setor público brasileiro.

 

Como a baixa maturidade técnica afeta a adoção de nuvem no setor público?

A baixa maturidade técnica nos órgãos públicos é um dos principais entraves para a adoção eficaz da computação em nuvem. Ela se manifesta na ausência de equipes capacitadas, na falta de políticas internas, na indefinição de papéis e responsabilidades, e na dificuldade de compreender a lógica de serviços baseados em consumo variável.

Sem maturidade, as organizações não conseguem elaborar projetos técnicos consistentes, nem realizar análises de viabilidade econômica adequadas. Isso compromete desde a estruturação do termo de referência até a gestão contratual posterior, resultando em contratações subótimas, com baixo aproveitamento do potencial da nuvem.

Além disso, a baixa maturidade favorece uma dependência excessiva de intermediários, como os brokers, o que pode ser útil em uma fase inicial, mas limita a autonomia técnica do órgão. Outro efeito colateral é o medo de inovar, levando à repetição de modelos antigos em um novo cenário tecnológico.

Portanto, elevar a maturidade técnica significa investir em capacitação, planejamento estratégico e experimentação controlada, permitindo que os órgãos públicos façam escolhas conscientes, seguras e alinhadas às suas reais necessidades institucionais.

 

O que é um Centro de Excelência em Nuvem (CCoE) e como ele contribui para a gestão pública?

O Centro de Excelência em Nuvem (Cloud Center of Excellence – CCoE) é uma estrutura organizacional voltada à governança, adoção e uso estratégico da computação em nuvem dentro de instituições públicas ou privadas. Seu objetivo é centralizar conhecimentos, definir padrões, orientar equipes e garantir que a nuvem seja usada de maneira eficiente, segura e alinhada às metas da organização.

No setor público, o CCoE pode assumir diversas configurações: pode ser uma equipe exclusivamente interna, como no Banco do Brasil; pode operar de forma híbrida, como no TSE (com parte terceirizada); ou pode contar com especialistas contratados para apoiar a estruturação do modelo.

As principais funções do CCoE incluem:

• Definir arquiteturas de referência e políticas de uso;
• Orientar sobre segurança da informação;
• Apoiar a escolha de provedores e modelos de contratação;
• Promover capacitação contínua;
• Monitorar consumo e apoiar a adoção de FinOps.

Sua atuação é fundamental para superar o “vale da improvisação”, comum nos primeiros estágios de adoção de nuvem. Com um CCoE bem estruturado, o órgão ganha autonomia técnica, reduz riscos contratuais e cria condições para uma transição digital sustentável e escalável.

 

Por que a participação da alta administração é considerada essencial no uso estratégico da nuvem?

A transformação digital no setor público não é um projeto de tecnologia — é um projeto institucional, e por isso exige o comprometimento da alta administração. Quando falamos em computação em nuvem, a adesão da cúpula gestora é ainda mais relevante, pois ela envolve decisões estratégicas sobre orçamento, priorização de projetos e mudança cultural.

A alta administração é quem deve:

• Aprovar políticas de uso e governança;
• Viabilizar capacitação das equipes;
• Autorizar alocação de pessoal e orçamento;
• Integrar a nuvem aos instrumentos de planejamento (PDTI, PCA, metas institucionais).

Sem essa participação, a nuvem corre o risco de ser tratada como uma “questão técnica”, restrita à área de TI, o que mina seu potencial transformador. Em contrapartida, quando os líderes compreendem o papel da nuvem como infraestrutura estratégica, ela passa a fazer parte do discurso institucional, ganha visibilidade e encontra caminhos para superar resistências internas.

Logo, a alta administração é agente indutor da inovação — e seu engajamento pode ser a diferença entre o sucesso e o fracasso na adoção da nuvem pública.

 

Qual é o impacto do uso de marketplaces dos provedores nas contratações públicas de nuvem?

Os marketplaces dos provedores de nuvem são plataformas onde empresas terceiras oferecem soluções especializadas — desde softwares, consultotias, até serviços prontos para serem utilizados. Embora representem um potencial de agilidade e diversidade de ofertas, seu uso irrestrito em contratações públicas levanta preocupações com burla ao processo licitatório.

O risco identificado pelo TCU é o de que, ao contratar um provedor de nuvem por valor global, o órgão passe a adquirir produtos e serviços de terceiros — via marketplace — que, se fossem contratados de forma isolada, exigiriam licitação própria. Isso configuraria uma utilização indevida da cobertura contratual, transformando o contrato de nuvem em guarda-chuva para outras aquisições.

Para mitigar esse risco, é necessário:

• Definir limites de uso do marketplace no termo de referência;
• Prever critérios técnicos para seleção de serviços terceirizados;
• Estabelecer controles de rastreabilidade e alçadas de aprovação.

Assim, o marketplace deixa de ser uma zona cinzenta e passa a ser uma ferramenta de inovação controlada, inserida em um contexto de governança responsável.

 

Como a contratação conjunta de nuvem entre órgãos públicos pode trazer benefícios e desafios?

A contratação conjunta — como a que envolveu TCU, CNJ e CGU — traz benefícios inegáveis: economia de escala, padronização contratual, compartilhamento de conhecimento técnico e maior poder de negociação com fornecedores. Essas vantagens são especialmente relevantes em ambientes onde há disparidade de maturidade técnica entre os órgãos.

Contudo, essa modalidade também traz desafios significativos, principalmente no que diz respeito à conciliar diferentes necessidades organizacionais, cronogramas, arquiteturas de TI e níveis de urgência. As decisões precisam ser consensuadas, o que pode gerar atrasos e comprometer a efetividade do processo.

Além disso, quanto maior o número de órgãos participantes, maior a complexidade da governança do contrato e da sua execução. Os acórdãos do TCU chamam atenção para esses pontos, destacando que a contratação conjunta precisa estar ancorada em mecanismos robustos de coordenação, fiscalização e comunicação entre os envolvidos.

Logo, a contratação conjunta é uma estratégia poderosa, mas exige maturidade colaborativa, clareza de papéis e compromisso institucional para funcionar de forma eficaz.

 

O que representa o risco de “desalinhamento estratégico” nas contratações de nuvem?

O desalinhamento estratégico ocorre quando um órgão público contrata serviços de nuvem sem ter clareza de como essa contratação se insere nos seus objetivos institucionais. Isso pode levar a desperdício de recursos, baixa aderência das soluções adquiridas e ausência de mecanismos de avaliação de desempenho.

No Acórdão 292/2025, o TCU destacou que o próprio MGI — responsável por liderar a contratação centralizada — não possuía à época uma estratégia institucional de uso da nuvem. Essa ausência compromete a legitimidade da contratação e sua eficácia futura.

Sem alinhamento estratégico, a nuvem pode ser subutilizada, mal dimensionada ou mal gerida. É como adquirir um avião sem ter um plano de voo: o recurso existe, mas não se sabe como usá-lo de forma coordenada e produtiva.

Portanto, o risco não está na tecnologia em si, mas na ausência de planejamento, vinculação a metas e articulação entre as áreas de negócio e TI. Mitigá-lo exige uma abordagem integrada de gestão, com participação da alta liderança e mecanismos de monitoramento institucional.

 

Qual é a relação entre computação em nuvem e inovação no setor público?

A computação em nuvem é a plataforma fundamental para a inovação no setor público. Ela permite que os órgãos acessem tecnologias de ponta — como inteligência artificial, análise de dados em larga escala, machine learning e soluções preditivas — sem necessidade de infraestrutura local ou investimentos pesados em hardware.

Além disso, a nuvem permite:

• Escalabilidade sob demanda, adaptando-se rapidamente ao crescimento de usuários ou dados;
• Redução do time-to-market, permitindo que novos serviços sejam lançados mais rapidamente;
• Integração entre sistemas, promovendo interoperabilidade e serviços centrados no cidadão.

Em um cenário de restrições orçamentárias e pressão por eficiência, a nuvem se torna a base operacional para a transformação digital, não só pela tecnologia em si, mas pelo modelo de contratação, que favorece o consumo inteligente, por projeto, por uso e com controle ajustável.

Portanto, não se trata de uma inovação “acessória”, mas de um elemento estruturante para a entrega de valor público, com impacto direto na qualidade dos serviços prestados ao cidadão.

---