SEI/FUFSCar - 1884845 - Ato Oficial: Portaria

SECRETARIA GERAL DE INFORMÁTICA - SIn
Rod. Washington Luís km 235 - SP-310, s/n - Bairro Monjolinho, São Carlos/SP, CEP 13565-905
Telefone: (16) 33518147 - http://www.ufscar.br

O Secretário Geral de Informática da UFSCar, no uso das competências que lhe confere o Regimento Interno do Comitê de Governança Digital da UFSCar, aprovado pela Resolução ConsUni Nº 23, de 07 de março de 2025, considerando a necessidade da definição da Estratégia de Uso de Software e de Serviços de Computação em Nuvem da UFSCar nos termos da Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, e a deliberação do Comitê de Governança Digital da UFSCar em sua 21ª Reunião Ordinária, ocorrida em 12 de junho de 2025.

Fica aprovado, na forma do Anexo Único desta Portaria, o Documento de Estratégia de Uso de Software e de Serviços de Computação em Nuvem da UFSCar.

A área de Tecnologia da Informação da UFSCar, representada pela Secretaria Geral de Informática (SIn), deverá adotar, monitorar e garantir a aplicação das diretrizes estabelecidas nesta Estratégia, visando assegurar a qualidade e a conformidade na utilização dos recursos e nas contratações de software e dos serviços de nuvem, de acordo com as necessidades institucionais.

Esta Portaria entra em vigor na data de sua publicação no Boletim de Serviço Eletrônico do SEI-UFSCar.

Dispõe sobre a estratégia de uso de software e de serviços de computação em nuvem no âmbito da Universidade Federal de São Carlos - UFSCar.

A adoção estratégica de softwares e serviços de computação em nuvem é um componente essencial para a modernização e a eficiência da Universidade Federal de São Carlos (UFSCar). Diante da imperativa transformação digital, as soluções em nuvem oferecem a agilidade, escalabilidade e segurança necessárias para otimizar os recursos tecnológicos em conformidade com as demandas institucionais e normativas.

O presente documento formaliza a política para a contratação, gestão e governança de tecnologias em nuvem. Seus objetivos são:

A estratégia fundamenta-se em princípios como a preferência pelo modelo cloud-first, a mitigação de riscos de dependência tecnológica (vendor lock-in) e a promoção da portabilidade e interoperabilidade de dados. Articulada com os planos institucionais de tecnologia e segurança da informação, esta política visa consolidar uma governança robusta, garantindo a continuidade, a eficiência e a inovação dos serviços digitais que apoiam a missão de ensino, pesquisa e extensão da UFSCar.

I. Análise e Autorização: Toda aquisição e uso de software corporativo deve ser previamente analisada e autorizada pela área de TI, garantindo aderência às necessidades institucionais e conformidade normativa. Recomenda-se a utilização de formulários padronizados e fluxos de aprovação eletrônicos, com registro de justificativas e pareceres técnicos.

II. Gestão de Dependência Tecnológica: Nos processos de contratação, avaliar e mitigar riscos de vendor lock-in, priorizando soluções com portabilidade e interoperabilidade. Recomenda-se incluir cláusulas contratuais que assegurem exportação de dados em formatos abertos e reversibilidade dos serviços.

III. Inventário de Softwares: Manter inventário atualizado de todos os softwares, com informações sobre licenças, contratos, datas de renovação, status de conformidade, responsáveis e registros de auditoria. Esta lista de inventário atualizado com as informações atualizadas deverá ser disponibilizada em página da rede, para ciência dos interessados.

I. Levantamento Detalhado: Realizar levantamento sistemático das necessidades institucionais, utilizando entrevistas, workshops e análise de processos. Documentar requisitos funcionais, de desempenho, segurança e compliance.

II. Planejamento de Migração: Detalhar o acesso aos recursos, níveis de serviço, integrações com sistemas legados e recursos computacionais e de armazenamento. Utilizar fluxogramas para documentar o processo de decisão.

III. Viabilidade de Soluções em Nuvem: Avaliar sempre que possível a concepção de novas soluções “cloud-native”, aproveitando escalabilidade, flexibilidade e custo-benefício da nuvem.

I. Compatibilidade Orçamentária: Escolher modelo (IaaS, PaaS, SaaS) compatível com restrições orçamentárias, buscando o melhor custo-benefício.

II. Criticidade das Informações: Natureza e criticidade dos dados orientam a escolha entre nuvem pública, privada, híbrida, comunitária ou de governo.

III. Plano de Recuperação: Para soluções totalmente em nuvem, prever plano de recuperação de serviços, incluindo backup, redundância e contingência, detalhando rotinas e responsabilidades.

I. Participação Ampliada: Ampliar o rol de fornecedores aptos, promovendo concorrência e inovação.

II. Critérios de Seleção: Considerar experiência comprovada, aderência a normas de segurança, conformidade regulatória, disponibilidade, suporte técnico, escalabilidade e análise de custo total de propriedade.

III. Normativos Aplicáveis: Observar a Instrução Normativa GSI/PR nº 5/2021, Portaria SGD/MGI nº 5.950/2023 e demais normativos pertinentes.

I. Classificação de Dados: Definir requisitos de segurança conforme sensibilidade dos dados, incluindo classificação, controles de acesso, criptografia em trânsito e repouso, autenticação multifator.

II. Avaliação de Controles: Avaliar controles de segurança dos fornecedores, auditorias externas, certificações (ISO 27001, SOC 2), conformidade nacional e internacional.

III. Gerenciamento de Riscos: Identificar sistemas e workloads migráveis sob a ótica da segurança, com medidas de mitigação para informações sigilosas.

I. Conectividade e Capacidade: Garantir infraestrutura adequada, com conexão estável, banda suficiente, redundância de links e ferramentas de monitoramento.

II. Avaliação Contínua: Avaliar periodicamente a infraestrutura, identificando necessidades de expansão, atualização e mitigação de pontos de falha. Recomenda-se uso de métricas de desempenho e planos de contingência.

A SIn deve assegurar a identificação e classificação de dados, o controle de acesso, o gerenciamento de configuração dos ambientes em nuvem e o monitoramento contínuo das atividades, garantindo que todas as operações estejam alinhadas às normas internas e externas de segurança e governança.

O Comitê de Governança Digital (CGD) supervisiona e aprova as decisões estratégicas relativas ao uso de computação em nuvem, além de estabelecer diretrizes gerais e deliberar sobre eventuais casos omissos, promovendo a integração entre as áreas de TI, as unidades acadêmicas e administrativas e a alta administração da UFSCar.

I. Cloud-First: Priorizar soluções em nuvem, considerando custo, agilidade, escalabilidade e segurança.

II. Lift-and-Shift como Último Recurso: Avaliar opções de otimização e modernização antes de migrar aplicações sem modificações.

III. Soluções Multicloud: Adotar estratégias multicloud para evitar dependência de um único fornecedor, promovendo interoperabilidade e portabilidade.

IV. Segurança e Conformidade: Implementar medidas robustas de segurança e garantir conformidade normativa.

V. Monitoramento e Governança Contínua: Estabelecer mecanismos de monitoramento, auditoria e governança.

VI. Capacitação Contínua: Oferecer treinamento e capacitação regular para equipes envolvidas.

I. Integração e Sincronização: Alinhar objetivos dos planos estratégicos (PDI e PDTIC) à estratégia global e à Política de Segurança da Informação da UFSCar.

II. Coerência e Consistência: Garantir ações coerentes e evitar duplicidades.

III. Planejamento Participativo: Envolver partes interessadas no planejamento, promovendo feedback contínuo e ajustes.

IV. Monitoramento e Avaliação: Estabelecer mecanismos de monitoramento e avaliação periódica.

V. Flexibilidade e Adaptabilidade: Manter planos flexíveis, com revisões periódicas para adaptação.

I. Linhas de Base: Mapear o cenário atual (AS IS), identificando pontos fortes, fraquezas, oportunidades e ameaças.

II. Metas Futuras: Definir metas claras e mensuráveis para o estado desejado (TO BE), como agilidade, redução de custos, resiliência e segurança.

III. Plano de Ação: Desenvolver plano detalhado de transição, com etapas, recursos necessários e cronograma.

IV. Monitoramento: Implementar sistema de monitoramento contínuo para acompanhar progresso e realizar ajustes.

I. Capacidades e Habilidades: Desenvolver competências em infraestrutura de nuvem, segurança, projetos e análise de dados.

II. Treinamento Contínuo: Investir em treinamentos regulares e incentivar certificações reconhecidas.

III. Especialização: Promover especialização em áreas estratégicas, como segurança cibernética e desenvolvimento em nuvem.

I. Portabilidade de Dados: Garantir transferência de dados entre sistemas sem perda de integridade ou qualidade, utilizando formatos abertos.

II. Interoperabilidade: Adotar padrões abertos e tecnologias que permitam integração eficiente entre sistemas e serviços.

III. Mitigação de Dependência: Implementar medidas para reduzir dependência de fornecedores e evitar vendor lock-in.

IV. Transparência e Segurança: Assegurar processos transparentes e seguros para portabilidade e interoperabilidade.

I. Cumprimento Legal: Garantir conformidade com leis, regulamentos e normas internas, especialmente sobre proteção de dados pessoais.

II. Documentação e Procedimentos: Manter documentação adequada e seguir procedimentos estabelecidos.

IV. Treinamento e Conscientização: Implementar programas de treinamento e conscientização sobre conformidade e segurança.

I. Análise de Dependências: Avaliar dependências tecnológicas e operacionais entre sistemas e serviços.

II. Portabilidade: Planejar transferência de dados e serviços para outras plataformas.

III. Backup e Redundância: Implementar soluções de backup e redundância para garantir continuidade.

IV. Contratos de Apoio: Estabelecer contratos de apoio técnico e administrativo.

V. Retorno à Infraestrutura Local: Planejar retorno dos serviços à infraestrutura local, se necessário, para evitar vendor lock-in.

I. Identificação de Riscos: Reconhecer e documentar todos os riscos potenciais.

II. Avaliação e Mitigação: Analisar probabilidade e impacto, implementando medidas de redução.

III. Monitoramento Contínuo: Monitorar riscos e revisar medidas periodicamente, conforme a Portaria SGD/MGI nº 5.950/2023.

I. Requisitos Mínimos: Observar requisitos mínimos de segurança da informação previstos em normas específicas.

II. Boas Práticas: Implementar controles de segurança, monitoramento contínuo, auditorias e planos de resposta a incidentes.

I. Revisão e Atualização: Esta Estratégia e seus documentos complementares devem ser revisados e atualizados periodicamente, conforme alterações legislativas, normativas e institucionais.

II. Divulgação: As atualizações devem ser amplamente divulgadas a todos os usuários e partes interessadas.

III. Casos Omissos: Os casos omissos serão tratados pelo Comitê de Governança Digital da UFSCar.

Documento assinado eletronicamente por Erick Lazaro Melo, Secretário(a) Geral, em 12/06/2025, às 16:39, conforme horário oficial de Brasília, com fundamento no art. 6º, § 1º, do Decreto nº 8.539, de 8 de outubro de 2015.

A autenticidade deste documento pode ser conferida no site https://sei.ufscar.br/autenticacao, informando o código verificador 1884845 e o código CRC D2914A61.

Referência: Caso responda a este documento, indicar expressamente o Processo nº 23112.019361/2025-24	SEI nº 1884845
Modelo de Documento: Ato Oficial: Portaria, versão de 09/Novembro/2023