IBGP Guia – Como Implementar a Governança de Nuvem no Setor Público

PorGeraldo Loureiro

IBGP Guia — Governança de Nuvem

Como Implementar a Governança de Nuvem no Setor Público

Um guia estratégico, abrangente e fundamentado para gestores, técnicos e auditores que desejam transformar a administração pública por meio da Computação em Nuvem, com governança, segurança, sustentabilidade e visão de futuro.

Conteúdo curatorial baseado nos artigos e FAQ do Professor Breno Costa

A Computação em Nuvem deixou de ser uma promessa tecnológica para se tornar uma decisão estratégica inadiável da administração pública brasileira. Mais do que migrar servidores e aplicações, implementar a Governança de Nuvem significa estabelecer um conjunto coordenado de políticas, estruturas, processos e controles capazes de garantir que cada real investido em serviços de nuvem se traduza em valor público — em forma de serviços digitais melhores, mais ágeis, mais seguros e mais sustentáveis para o cidadão. Esta página-pilar consolida, de forma estruturada e didática, os principais aprendizados, fundamentos normativos, melhores práticas e visões de futuro sobre o tema, com base no extenso trabalho desenvolvido pelo Professor Breno Costa no Fórum IBGP. O objetivo é oferecer ao leitor — seja ele dirigente, servidor ou estudioso da gestão pública — um roteiro claro para compreender a tecnologia, planejar sua contratação e capacitar suas organizações para a era da nuvem pública.

1. Contexto: Por que a Governança de Nuvem é hoje uma agenda imperativa

O setor público brasileiro atravessa um momento de inflexão. A demanda crescente por serviços digitais de qualidade convive com restrições orçamentárias, exigências normativas mais rigorosas e a necessidade de modernizar uma infraestrutura de TI muitas vezes envelhecida. Nesse cenário, a Computação em Nuvem deixou de ser tema reservado às áreas técnicas e passou a ocupar o centro da estratégia institucional. Não se trata mais de saber se a nuvem será incorporada à gestão pública, mas como e em que ritmo esse processo ocorrerá com a governança adequada.

A nuvem pública oferece escalabilidade, flexibilidade e eficiência operacional, viabiliza a entrega contínua de soluções ao cidadão e dá acesso a recursos avançados de TI — análise de dados, inteligência artificial, automação — sob modelos de pagamento por uso. Contudo, a simples adoção tecnológica não garante esses benefícios. Sem uma governança estruturada, as organizações públicas correm riscos significativos: gastos descontrolados, dependência excessiva de fornecedores, baixa rastreabilidade dos recursos consumidos, fragilidades de segurança e dificuldade de demonstrar valor às áreas de controle.

A Governança de Nuvem, portanto, é o conjunto integrado de diretrizes que assegura que a transformação digital aconteça com previsibilidade, transparência, conformidade e foco em resultado público. Implementá-la envolve responder a quatro perguntas centrais que serão desdobradas ao longo desta página-pilar:

  • Por que migrar para a nuvem (estratégia e sustentabilidade)?
  • O que contratar e em que modelo (catálogo, multi-nuvem, marketplace)?
  • Como contratar e operar com segurança jurídica e técnica?
  • Quem conduz e monitora essa jornada (alta administração, equipes técnicas e áreas de negócio)?

2. Sustentabilidade e inovação: o papel central da Nuvem Pública

Em sua palestra Guia de Nuvem Computacional para o Setor Público, o Professor Breno Costa cunha uma frase que se tornou referência no debate brasileiro: “Não há sustentabilidade fora da nuvem pública”. A afirmação tem múltiplas camadas e ultrapassa, intencionalmente, a discussão restrita ao impacto ambiental dos data centers.

A sustentabilidade que o Professor Breno destaca diz respeito à capacidade de uma organização pública permanecer competitiva, escalável e eficiente em um mundo digitalizado. Trata-se da sustentabilidade do próprio modelo de prestação de serviços públicos: sem uma infraestrutura moderna, escalável e elástica, o Estado simplesmente não consegue atender, com a velocidade exigida, à demanda crescente da sociedade por serviços digitais.

A nuvem pública entrega, simultaneamente, três contribuições estruturantes para a administração pública:

  1. Otimização de recursos, evitando o desperdício característico da capacidade ociosa em data centers próprios e o ciclo perverso de aquisições periódicas de hardware;
  2. Acesso a tecnologias avançadas — IA, big data, observabilidade, automação — sem necessidade de grandes investimentos iniciais (CAPEX) e sem barreira de entrada técnica;
  3. Capacidade de inovação contínua, com ciclos curtos de implantação de novos serviços para o cidadão e maior agilidade de resposta a demandas emergentes.
Alerta da Gartner: a consultoria já previa que, até 2025, uma organização sem um posicionamento claro em nuvem seria vista como um negócio sem presença na internet hoje. A urgência da transição para modelos digitais sustentáveis é, portanto, real e imediata para o setor público.

Para a administração pública, isso significa que a Governança de Nuvem não é uma escolha de TI, mas uma decisão estratégica institucional, conectada ao planejamento estratégico do órgão e ao seu compromisso com o cidadão. É também uma decisão sobre o futuro: organizações que não se posicionarem na nuvem nos próximos anos correrão risco real de obsolescência operacional, com impactos diretos na qualidade dos serviços prestados.

3. A evolução das contratações no Brasil: Onda 1 e Onda 2

Para entender o estágio atual da governança de nuvem no setor público, é fundamental conhecer a trajetória recente das contratações no Brasil. O Professor Breno Costa organiza essa trajetória em duas grandes ondas, cada uma com características próprias e aprendizados específicos:

Primeira Onda (2015–2020): a fase de aprendizado

  • Início tímido, marcado por baixa maturidade técnica e pouca experiência em contratações de serviços baseados em consumo;
  • Predominância de contratos voltados para brokers, justamente em razão da falta de capacitação interna nas organizações públicas;
  • Primeiros marcos regulatórios: Acórdão TCU 1.739/2015 e Portaria STI/MP nº 20/2016, trazendo o mapeamento inicial de riscos e os primeiros incentivos formais à ida para a nuvem.

Segunda Onda (de 2021 em diante): a fase de amadurecimento

  • Diversificação dos modelos de contratação: equipes internas, brokers especializados, modelos híbridos com integração entre TI interna e fornecedores;
  • IN GSI/PR nº 5/2021, estabelecendo diretrizes de segurança da informação e boas práticas para contratação de serviços em nuvem na Administração Pública Federal;
  • Portaria SGD/MGI nº 5.950/2023, definindo modelos de contratação de serviços de computação em nuvem;
  • Crescimento exponencial dos investimentos: no caso emblemático da Petrobras, salto de R$ 23 milhões em 2019 para R$ 1 bilhão em 2022 — um indicador claro da maturidade alcançada por organizações pioneiras.

“O sucesso da transição para a nuvem está na combinação de estratégia, regulamentação e capacitação técnica.” — Prof. Breno Costa

A leitura conjunta da Onda 1 e da Onda 2 deixa claro que o ambiente normativo amadureceu e os principais riscos já estão mapeados. O desafio das organizações que ainda não estão na nuvem — ou que estão em estágios iniciais — é, portanto, menos sobre se migrar e mais sobre como migrar com governança adequada, aproveitando as lições já consolidadas pelos pioneiros e pelos órgãos de controle.

4. Marco regulatório e fundamentos normativos

A Governança de Nuvem no setor público brasileiro hoje se apoia em uma base normativa robusta. Embora cada órgão deva consultar atualizações vigentes, os pilares regulatórios consolidados nas duas ondas incluem o seguinte conjunto de instrumentos:

Norma Contribuição principal
Acórdão TCU 1.739/2015 Mapeamento inicial de riscos da contratação de nuvem.
Portaria STI/MP nº 20/2016 Incentivo formal à adoção de nuvem na Administração Pública Federal.
IN GSI/PR nº 5/2021 Diretrizes de segurança da informação para serviços em nuvem.
Portaria SGD/MGI nº 5.950/2023 Modelos de contratação de serviços de computação em nuvem.

Para a prática da governança, esse arcabouço deve dialogar com a Lei Geral de Proteção de Dados (LGPD), com a Nova Lei de Licitações (Lei 14.133/2021) e com as orientações da própria SGD/MGI sobre transformação digital. O Professor Breno reforça que a governança não é exercício formal: cada órgão deve traduzir essas normas em políticas internas, processos e controles operacionais que façam sentido para a sua realidade institucional, seu tamanho e sua maturidade.

5. Os pilares da Governança de Nuvem no Setor Público

A partir das publicações do Professor Breno Costa, é possível organizar a Governança de Nuvem no Setor Público em seis pilares integrados, que devem ser tratados de forma sistêmica para que a adoção da nuvem produza valor público real:

  1. Estratégia e direcionamento — alinhamento da nuvem ao planejamento estratégico institucional, com apoio explícito da alta administração e sponsors claros.
  2. Estrutura normativa interna — políticas, normas e processos que traduzem a regulação externa para a realidade do órgão, criando um arcabouço próprio de regras e responsabilidades.
  3. Modelo de contratação — definição clara do objeto contratual, dos catálogos de serviço, dos modelos de remuneração e dos critérios de seleção e fiscalização de fornecedores.
  4. Operação e gestão financeira — práticas de FinOps, rastreabilidade de gastos, ordens de serviço (OS) detalhadas, monitoramento contínuo de consumo e de desempenho.
  5. Segurança, conformidade e risco — controles de segurança da informação, proteção de dados pessoais, auditoria, gestão de riscos e mecanismos para mitigar lock-in de fornecedores.
  6. Pessoas e cultura — capacitação contínua, papéis e responsabilidades bem definidos, governança colaborativa entre TI, áreas de negócio, jurídico, controle interno e fiscalização.

Quando esses pilares são tratados de forma integrada, o órgão deixa de operar a nuvem como uma simples “extensão do data center” e passa a usá-la como plataforma de transformação institucional, ampliando significativamente o retorno do investimento público.

6. A jornada de contratação: por que ainda é desafiadora

No artigo “Contratar Serviços em Nuvem: Uma Jornada Desafiadora, mas Necessária!”, o Professor Breno Costa identifica três fatores principais que tornam a transição complexa para a maioria das organizações públicas:

  1. Capacitação: grande parte das equipes do setor público ainda tem baixo conhecimento técnico sobre nuvem, o que dificulta tanto o planejamento quanto a fiscalização contratual e o uso eficiente dos recursos.
  2. Tempo e recursos financeiros: implantar uma estratégia de nuvem exige investimento e dedicação. É fundamental o apoio explícito da alta administração, sob pena de a iniciativa não sobreviver às pressões internas e às mudanças de gestão.
  3. Complexidade técnica: operar serviços em nuvem demanda coordenação entre múltiplas tecnologias, fornecedores, ferramentas e equipes — algo bem distinto do modelo tradicional de TI.

Outros desafios documentados pelo Professor incluem a complexidade dos processos licitatórios, a definição clara do objeto contratual, a rastreabilidade de gastos, a gestão de riscos e a adaptação a tecnologias em rápida evolução. Para superar esses obstáculos, o caminho passa por planejamento estratégico do uso da nuvem, capacitação sistemática das equipes e alinhamento permanente com os normativos vigentes.

Por que vale a pena, mesmo com todos esses desafios? Porque a nuvem reduz esforços manuais, aumenta a escalabilidade e melhora substancialmente a eficiência operacional — fatores cruciais para governos comprometidos com a entrega de serviços digitais de alta qualidade ao cidadão.

7. Catálogos de serviços: aberto, fechado ou híbrido?

Um dos debates mais presentes nas contratações de nuvem é a escolha entre catálogos abertos e fechados. O Professor Breno Costa, no artigo “Catálogos de Serviços de Nuvem: Aberto ou Fechado?”, descreve com clareza os prós e contras de cada modelo:

Modelo Vantagens Riscos
Catálogo Aberto Flexibilidade para contratar serviços novos; possibilidade de aproveitar descontos do provedor. Serviços podem ser descontinuados pelo provedor; aquisição desalinhada do planejamento; dificuldade de rastreabilidade.
Catálogo Fechado Maior controle e previsibilidade sobre o que é contratado. Inclusão de novos serviços exige aditivos contratuais, geralmente lentos e burocráticos.
Recomendação do especialista: um bom catálogo deve equilibrar flexibilidade e controle. Uma estratégia eficaz é registrar o catálogo completo dos provedores no início do contrato, o que dá controle sobre aumentos de preço e, ao mesmo tempo, mantém disponível um amplo conjunto de serviços para uso conforme a demanda.

Em outras palavras, catálogo aberto não é sinônimo de descontrole, e catálogo fechado não é sinônimo de segurança plena. O que diferencia uma escolha boa de uma escolha ruim é a presença (ou ausência) de controles de governança em torno do modelo adotado — e é justamente aí que reside o papel da Governança de Nuvem.

8. Rastreabilidade dos gastos, FinOps e Marketplaces

Um dos calcanhares de Aquiles da contratação de nuvem é a rastreabilidade dos gastos. Diferente do modelo tradicional de TI, em que o custo da infraestrutura é capitalizado e previsível, a nuvem opera no modelo OpEx baseado em consumo — o que pode levar a gastos descontrolados quando não há mecanismos adequados de governança financeira.

O Professor Breno aponta um conjunto consistente de práticas para garantir rastreabilidade plena:

  • Uso sistemático de tags (etiquetas) em todos os recursos contratados, vinculando-os a ordens de serviço (OS) e a justificativas de negócio;
  • Implantação de processos internos de auditoria e monitoramento contínuo de consumo, com painéis e relatórios gerenciais periódicos;
  • Adoção de FinOps — disciplina de gestão financeira da nuvem, que aproxima as áreas de TI, finanças e negócio para otimizar continuamente os custos;
  • Estabelecimento de controles financeiros que permitam alocar custos por área, projeto ou produto público, viabilizando análises de retorno por iniciativa.

Marketplaces: oportunidade e cuidado

Os Marketplaces dos provedores de nuvem oferecem ampla gama de soluções, muitas vezes com facilidade de aquisição e custos competitivos. Entretanto, seu uso inadequado pode burlar processos licitatórios e comprometer a transparência. O Professor Breno recomenda implementar controles rigorosos e monitorar todos os gastos por meio de OS detalhadas, evitando que o Marketplace se torne uma “porta dos fundos” da governança e, consequentemente, fonte de risco para os gestores.

9. Estratégia multi-nuvem e mitigação de lock-in

A estratégia multi-nuvem permite que organizações governamentais utilizem múltiplos provedores simultaneamente, mitigando riscos de dependência e aumentando a flexibilidade na escolha de serviços. Os benefícios são claros: redução do risco de lock-in, maior poder de barganha em renovações contratuais e melhor adequação técnica entre provedores e cargas de trabalho específicas.

Por outro lado, a multi-nuvem traz desafios significativos que precisam ser endereçados:

  • Interoperabilidade entre ambientes diferentes, o que exige arquiteturas e padrões cuidadosamente desenhados;
  • Complexidade contratual, com múltiplos contratos, OS e fornecedores a serem geridos simultaneamente;
  • Necessidade de capacitação mais ampla das equipes técnicas, que precisam dominar mais de uma plataforma;
  • Maior esforço de governança integrada, abrangendo segurança, FinOps, identidade, observabilidade e auditoria em ambientes heterogêneos.

A recomendação do Professor Breno é planejar a multi-nuvem de forma cuidadosa, equilibrando benefícios e custos, e preferir padrões interoperáveis sempre que possível para reduzir o aprisionamento tecnológico. A multi-nuvem mal planejada pode produzir um cenário pior do que o lock-in que pretendia evitar — daí a importância de governança forte desde o desenho da arquitetura.

10. Capacitação de pessoas e papel da alta administração

Não há governança de nuvem efetiva sem pessoas capacitadas. A escassez de profissionais especializados continua sendo um dos principais obstáculos para a modernização do setor público brasileiro. O Professor Breno reforça que equipes bem treinadas conseguem planejar, contratar e operar soluções com mais eficiência, reduzindo riscos e maximizando os benefícios da nuvem.

O caminho da capacitação combina múltiplas frentes complementares:

  • Formação interna contínua com treinamentos, certificações e comunidades de prática internas;
  • Parcerias com fornecedores e provedores de nuvem, aproveitando programas educacionais oficiais;
  • Trilhas de carreira específicas para arquitetura de nuvem, segurança em nuvem, FinOps e DevSecOps;
  • Cooperação entre órgãos, especialmente para entes públicos menores que isoladamente não têm escala para formar equipes completas.

Alta administração: papel decisivo na governança

A alta administração desempenha papel crucial na adoção de nuvem. Cabe a ela:

  • Priorizar a transição para a nuvem como decisão estratégica institucional, não apenas técnica;
  • Destinar recursos financeiros e humanos compatíveis com o desafio assumido;
  • Alinhar a iniciativa aos objetivos institucionais e ao Plano Diretor de TI (PDTIC);
  • Promover uma cultura de inovação e tolerância a aprendizado, essencial em ambientes de alta mudança tecnológica;
  • Atuar como sponsor das iniciativas, vencendo resistências internas e dando segurança política aos servidores envolvidos.

Sem esse patrocínio, mesmo o melhor projeto técnico tende a fracassar nas barreiras culturais e políticas internas — um padrão que se repete em diversos órgãos brasileiros.

11. Indicadores de sucesso e melhores práticas

Como medir se a Governança de Nuvem está funcionando? O Professor Breno Costa indica que os indicadores devem cobrir múltiplas dimensões, evitando análises restritas apenas ao custo financeiro:

  • Eficiência financeira: redução de custos operacionais; custo por unidade de serviço entregue; aderência ao orçamento previsto; otimização contínua via FinOps.
  • Eficiência operacional: tempo de implantação de novas soluções; tempo de provisionamento de recursos; disponibilidade dos serviços ao cidadão.
  • Satisfação do cidadão: qualidade percebida nos serviços digitais; tempo de atendimento; índices NPS, quando aplicáveis.
  • Segurança e conformidade: aderência a normas (LGPD, IN GSI/PR nº 5/2021); número de incidentes; tempo de resposta a incidentes.
  • Capacidade de adaptação: velocidade com que novas demandas são atendidas; adoção de tecnologias emergentes (IA, automação, observabilidade).

Síntese das melhores práticas

  • Definir claramente o objeto contratual, evitando descrições genéricas e ambíguas;
  • Implementar controles adequados sobre catálogos abertos e Marketplaces;
  • Monitorar continuamente custos, consumo e desempenho;
  • Garantir rastreabilidade via ordens de serviço detalhadas e tags em todos os recursos;
  • Preferir padrões interoperáveis para mitigar o lock-in tecnológico;
  • Realizar auditorias regulares e estabelecer mecanismos robustos de governança;
  • Investir permanentemente em pessoas, processos e cultura organizacional.

12. Roteiro prático para iniciar a jornada na sua organização

Reunindo as orientações do Professor Breno Costa, é possível estruturar um roteiro em sete passos para implantar a Governança de Nuvem em um órgão público — útil tanto para quem ainda não iniciou a jornada quanto para quem precisa reorganizar uma adoção que avançou sem governança suficiente:

  1. Engajamento da alta administração: obtenha patrocínio formal, defina sponsors, inclua a estratégia de nuvem no planejamento institucional e formalize o compromisso com recursos e prazos.
  2. Diagnóstico de maturidade: avalie o estágio atual em pessoas, processos, contratos e tecnologia. Identifique gaps, riscos e dependências críticas.
  3. Definição da estratégia de nuvem: decida princípios (cloud first, multi-nuvem, soberania de dados), modelo de catálogo, regras de uso e critérios de priorização.
  4. Estruturação normativa interna: publique políticas, normas e procedimentos que traduzam a regulação externa para a realidade do órgão, com responsabilidades claras.
  5. Modelagem da contratação: defina objeto contratual, modelo de remuneração, catálogo, OS, métricas de SLA e mecanismos de fiscalização contratual.
  6. Operação com FinOps e segurança por padrão: implante práticas de tagging, monitoramento, FinOps, segurança e auditoria desde o primeiro dia da operação.
  7. Capacitação contínua e melhoria: invista em pessoas, comunidades de prática, indicadores e revisões periódicas. Trate a governança como ciclo de aprendizado, não como entrega única.

13. Considerações finais

Implementar a Governança de Nuvem no Setor Público é, sobretudo, um exercício de maturidade institucional. As tecnologias estão maduras, a regulamentação amadureceu nas duas ondas de adoção brasileira, e há experiências consolidadas que mostram o caminho. O que diferencia órgãos que extraem valor real da nuvem dos que apenas migram cargas é a presença de uma governança estruturada — com estratégia clara, normas internas, contratos bem desenhados, controles financeiros, segurança por padrão e, principalmente, pessoas capacitadas e uma alta administração comprometida.

Os artigos e respostas do Professor Breno Costa, reunidos nesta página-pilar, fornecem um caminho consistente para essa jornada. Mais do que tecnologia, governança de nuvem é governança pública aplicada à transformação digital do Estado: uma forma de garantir que cada decisão tomada na nuvem se traduza em valor concreto para o cidadão, em conformidade com os normativos e com o uso responsável dos recursos públicos.

O caminho é desafiador, mas necessário. E quanto antes a organização começar — com governança desde o primeiro passo —, maiores serão os benefícios colhidos pela sociedade.

📚 Artigos e FAQ relacionados do Professor Breno Costa

Esta página-pilar foi construída com base nas seguintes publicações do Fórum IBGP. Acesse cada conteúdo na íntegra:

FAQ

IBGP Responde — Governança dos Serviços em Nuvem no Setor Público

Conjunto de perguntas e respostas sobre sustentabilidade, riscos, rastreabilidade, capacitação, multi-nuvem, marketplaces e indicadores de sucesso na adoção da nuvem pelo setor público.

Acessar FAQ →

Artigo

Contratar Serviços em Nuvem: Uma Jornada Desafiadora, mas Necessária!

Análise dos principais desafios da contratação de nuvem no setor público — capacitação, recursos financeiros e complexidade técnica — e por que a jornada é, ainda assim, indispensável.

Ler artigo →

Artigo

Sustentabilidade e Inovação: O Papel Central da Nuvem Pública

Reflexão sobre a frase “Não há sustentabilidade fora da nuvem pública” e o papel estratégico da nuvem na modernização institucional do setor público.

Ler artigo →

Artigo

A Evolução das Contratações em Nuvem no Brasil — Onda 1 e Onda 2

Panorama histórico da adoção de nuvem no Brasil, dos primeiros marcos regulatórios em 2015 até o amadurecimento normativo da Segunda Onda, a partir de 2021.

Ler artigo →

Artigo

Catálogos de Serviços de Nuvem: Aberto ou Fechado?

Comparativo objetivo entre catálogos abertos e fechados de serviços de nuvem, com prós, contras e recomendações práticas para o setor público.

Ler artigo →


Professor Breno Costa

Professor Breno Costa

Especialista em Computação em Nuvem aplicada ao setor público, autor da palestra Guia de Nuvem Computacional para o Setor Público e dos artigos e FAQs que fundamentam esta página-pilar. Acesse a página completa do professor no Fórum IBGP para conhecer toda a sua produção, cursos e contribuições.

Acessar página do Professor →



Posts Similares

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *