As duas Ondas da Contratação de Nuvem no Governo Brasileiro

Voltando um pouco no tempo, Estados Unidos, Canadá e Reino Unido definem suas políticas de governo para a Nuvem em 2011, 5 anos após o lançamento comercial do modelo de Nuvem Pública pela AWS. Essa decisão ocorre após a verificação de que o modelo de adoção e expansão computacional baseado em datacenters não era mais sustentável, pelos seguintes motivos:

• Grande esforço para viabilizar a operação: contratação, instalação e operação de dezenas de itens;
• Custo elevado : não se inicia um datacenter sem um desembolso da ordem de sete dígitos, i.e. um milhão de dinheiros;
• Pagamento por poder computacional ocioso como forma de suportar um crescimento (esperado ou inesperado) na demanda e evitar um processo adicional de compra.

Por política de governo, entendam aqui um aparato estatal para apoiar e suportar o uso da Nuvem nas agências. A estratégia de Cloud First foi adotada, significando que a Nuvem Pública deveria ser a primeira opção, desde que houvesse oferta madura, segura e disponível no mercado (não esqueçam que estamos falando de 13 anos atrás!). Havia uma determinação daqueles governos, com metas de ida à nuvem de curto e médio prazo, acompanhadas pelos organismos de controle (já que eram políticas públicas!), com criação de entes estatais de apoio (casos do Reino Unido e Canadá) e documentos e definições complementares (Guia de Compras, Framework de Gestão de Riscos, etc).

Com o passar dos anos, e a partir do acompanhamento destes movimentos de governo para a Nuvem Pública, houve alguns achados interessantes que resumo aqui:

1. Contratar e adotar nuvem pública não é simples! Plataforma tecnológica adicional, cobrança por uso, Opex em vez de Capex, execução em datacenter de empresa estrangeira (exceções apenas aos Estados Unidos e China), riscos da ida e da permanência na nuvem ainda não eram muito discutidos.
2. A inércia dos órgãos de governo frente a mudanças estruturais faz com que os movimentos sejam mais lentos no início da adoção, mesmo quando há incentivo e apoio (orçamento, recursos humanos, conhecimento), e que haja uma aceleração a partir do ganho de experiência. Isso interfere no planejamento da execução contratual!
3. O orçamento das contratações subsequentes de Nuvem Pública tendem a crescer de forma acelerada, quando há disponibilidade financeira e caso o objetivo de volume de ida para a Nuvem ainda não tenha sido atingido. Por exemplo, se a meta é de ter 40% da operação na Nuvem, mas a primeira contratação atingiu apenas 10%, caso haja orçamento, os 30% restantes podem ter sido orçados na segunda contratação.
4. Mesmo com uma aceleração do uso da Nuvem Pública nos primeiros anos de adoção, os gastos com Nuvem Pública representam um percentual pequeno do orçamento total de TI.
5. Os órgãos de governo são muito diferentes entre si e reagem e se movimentam de acordo com diversos fatores: tamanho, cultura interna, vertical de atuação, esfera de poder, poder do Estado a que estão vinculados, entre outros. O natural é que haja agrupamentos em diferentes níveis de experiência, em percentuais da operação de produção que estão na Nuvem, no conhecimento sobre os provedores. Regras gerais que desconsiderem essa diversidade tendem a ser menos efetivas.

---

Voltando às ondas,….

 

PRIMEIRA ONDA DE CONTRATAÇÕES

Em 2012, O GSI/PR publicou a NC-14, definindo que os workloads em nuvem deveriam executar em datacenters no Brasil.  Aponto aqui que a AWS iniciou a operação no Brasil em 2011, a Microsoft em 2014 e o Google em 2017, e estes eram os três grandes provedores que tinham datacenter n Brasil no início das contratações do governo.

O TCU publicou o Acórdão 1739 em 2015. O relatório apresenta um estudo sobre os possíveis usos da nuvem no governo brasileiro, além de uma matriz de riscos,  já que havia apenas usos experimentais à época, sem ter havido nenhuma contratação específica até o momento.

Em 2016, A Portaria STI Nº 20 do Ministério do Planejamento estabelecia que não se poderia  construir ou expandir datacenters e que a necessidade de poder computacional adicional deveria ser atendida com Computação em Nuvem.

Ainda em 2016, a Emenda Constitucional (EC) Nº 95 estabeleceu o Teto de Gastos, estabelecendo que os gastos de 2016 seriam o limite superior dos gastos anuais de cada órgão pelos próximos 20 anos, com correção pela inflação do ano anterior.

Em resumo, o cenário era de baixa maturidade e baixíssima experiência com uso da Nuvem. Isso levou à escolha de contratar um broker (intermediário/integrador) para atuar tecnicamente, criando e mantendo os serviços da Nuvem da organização.

São deste cenário as contratações do TCU (2017),  a Ata 1 do MP (2018), Petrobrás (2019) e Ata 2 do MP (2021), listando apenas as mais icônicas. Em nenhuma destas contratações houve escolha de marca do provedor e todas usaram USN, que foi uma métrica publicada pela primeira vez na contratação do TCU em 2017.

É digna de menção a contratação feita pela ETICE, empresa de TI do Ceará, que em 2017 usou o modelo de credenciamento de fornecedores e vem fornecendo serviços em Nuvem para seus clientes neste modelo desde então.

Diferentemente dos países citados no começo da postagem, não tivemos uma política pública para uso da nuvem como plataforma estratégica do governo. Aparentemente, as restrições de contratação e expansão de datacenters da Portaria Nº 20, posteriormente incorporadas à IN 1/2019 da SGD, não foram efetivas (ou simplesmente não foram seguidas?). Aí a inércia foi mais forte e manteve-se a oferta de serviços tradicionais por meio de datacenters, reforçada com a pressão de renovação e expansão dos parques que a EC 95 criou em 2016. Sem a política que estabelecesse metas e acompanhamento, os estoques cheios também foram argumentos adicionais para postergar o início das operações de nuvem ou reduzir bastante os orçamentos das contratações.

A Primeira Onda resultou em viabilizar contratações em meio à ausência de uma estratégia de governo para uso da Nuvem Pública.

 

SEGUNDA ONDA DE CONTRATAÇÕES

A partir de 2021, outros modelos de remuneração apareceram:

• O BDMG – Banco de Desenvolvimento de Minas Gerais – fez uma contratação em que especifica toda sua infraestrutura e os fornecedores concorreram pelo menor preço anual para migrar e manter a infraestrutura na Nuvem Pública.
• A Ativos S.A., empresa do grupo do Banco do Brasil, fez uma contratação cujos objetos eram tanto relativos à Nuvem quanto a Datacenter, modelando os dois lados de uma nuvem híbrida.
• O Ministério da Justiça escolheu o provedor da Microsoft para a execução do contrato de Nuvem, além de fazer a disputa usando um modelo de remuneração de maior desconto em relação ao preço de lista. Não houve previsão de broker como integrador.

Em abril de 2021 é publicada a Nova Lei de Licitações (Lei 14.133/2021). Embora a Lei 8666/1993 fosse permanecer vigente até abril/2023 (depois prorrogada até dezembro/2023), o novo referencial de compras públicas já estava colocado.

Em julho de 2021, o GSI publica a IN 5 e revoga a NC 14. A IN 5 define os requisitos de segurança   da informação a serem seguidos pelos órgãos, brokers e provedores, ajudando sobremaneira (descobrimos depois! 🙂 ) na especificação das contratações.

Em 2022, TCU, CGU e CNJ iniciam o processo de contratação conjunta de Nuvem Pública em um modelo que permite até 4 provedores, mas dois são pré-determinados: AWS e Microsoft.

Essa contratação, terminada em 2023, foi objeto de fiscalização do TCU por ter uma materialidade alta e grande potencial de ser replicada, visto que participavam órgãos dos três poderes. Como pontos mais relevantes, destaco:

• Modelo de remuneração pelo maior desconto sobre o preço de lista
• Exigência de o órgão ser o titular da conta no provedor e não o broker, vencedor da licitação como ocorreu nas contratações anteriores
• Valores diferentes de métricas para serviços nativos do provedor e para serviços de terceiros, oferecidos via Marketplace
• Limitação de consumo do orçamento contratual para gastos no Marketplace
• Uso de OS para aumento da rastreabilidade do consumo
• Publicação de normativo interno definindo as alçadas de autorização e outros ritos da gestão contratual.

O relatório da fiscalização foi publicado no Acordão TCU 157/2024. Ele atualiza a lista de riscos de contratação de Computação em Nuvem para o cenário atual, e alguns dos itens relevantes destacados acima foram definidos como respostas para mitigação destes riscos. As consultas da equipe de fiscalização do TCU, assim como as respostas dos três órgãos, puderam ser apreciadas pelo MGI a tempo de incluir na Portaria SGD/MGI 5950/2023 algumas das soluções encontradas.

A Portaria SGD/MGI 5950/2023 é o mais recente componente normativo a caracterizar essa Segunda Onda de contratações, vez que positiva um modelo de contratação de Computação em Nuvem e traz diferentes modelos de remuneração de contratos, além de sugestões de indicadores, lista de riscos, entre outras informações.

A Segunda Onda se inicia com a materialização da diversidade das organizações do governo  brasileiro, refletida nos diferentes modelos de remuneração (USN, Maior Desconto, Empreitada etc.) e de operação (por meio de broker, com equipe interna do quadro, com equipe terceirizada).

O foco da Segunda Onda é a Gestão da operação em Nuvem Pública, com previsão de publicação pelos órgãos de documentos de Estratégia para uso da nuvem e de modelo de governança, juntamente com uma gestão de custos mais profissional, área em que FinOps é o padrão a ser alcançado.

As novas contratações seguindo esse conjunto normativo da Segunda Onda, sem dúvida alguma, terão mais ferramentas administrativas à disposição, com um potencial de permitir uma gestão adequada e boa mitigação dos riscos da plataforma.

Como sempre, para transformar esse potencial em resultados concretos, é preciso que haja adequado investimento das organizações, principalmente na alocação de profissionais capacitados (sejam do quadro próprio, sejam terceirizados) e na gestão do conhecimento.

 

Principais Pontos

O objetivo por trás dessa categorização em ondas é o de contextualizar as contratações já ocorridas e facilitar a interpretação dos editais, partindo do cenário em que foram publicados. Essa é uma interpretação pessoal sobre o amadurecimento no governo brasileiro em relação à adoção de Nuvem Pública.

Considero que ainda há muito a se evoluir e elejo dois pontos que parecem poder transformar positivamente esse cenário no médio prazo:

1. A definição de uma política pública que INCENTIVE o uso da Nuvem, estabelecendo metas e fornecendo apoio. O resultado dessa política deve ser um maior volume percentual da operação de TI das organizações do governo na Nuvem Pública. O que temos no momento são regras de COMO IR para a Nuvem, assim como de O QUE NÃO FAZER. Em alguns casos, elas funcionam como um desincentivo à ida e isso significa mais contratações no modelo tradicional, tomando tempo e recursos valiosos das organizações, sem falar no desperdício de recursos.
2. Avaliação da maturidade com uso da Nuvem Pública nas organizações de governo.

• Quais são as principais dificuldades das organizações que ainda não foram à Nuvem?
• Quem contratou, mas o fez de forma tímida (por exemplo, 34 contratos dos 61 gerados pela Ata 2 do MGI tiveram orçamento médio de R$ 325 mil), conseguiu um aumento de maturidade ou de capacitação do quadro?
• Quais são os serviços mais utilizados pelas organizações?
• Qual o percentual do orçamento de TI é gasto com nuvem pública?
• Qual percentual do orçamento contratual é usado com serviços de terceiros, fornecidos pelo Marketplace do provedor?
• Como está a capacitação do quadro de servidores e das empresas terceirizadas contratadas?
• Sugiram mais perguntas e detalhem os benefícios que teríamos com essas respostas!

Caso concordem com as informações sobre as Ondas, ou discordem, OU AMBOS!, comentem!