Autor: Eduardo Fagundes

Uma pesquisa recente conduzida pela KPMG revelou um dado alarmante: 58% das empresas participantes sofreram impactos econômicos em decorrência de ataques cibernéticos. Um exemplo palpável é o recente ataque enfrentado pelos sites da B2W – Americanas, Shoptime e Submarino – que resultou na interrupção de suas operações. De acordo com o portal Exame, apenas a Americanas sofreu prejuízos estimados em mais de R$325 milhões durante 72 horas de inatividade. Esta realidade lança luz sobre a urgência de robustecer a segurança cibernética, incorporar novas tecnologias e elaborar planos de continuidade de negócios.

No cerne da questão, encontra-se uma problemática inerente: o ambiente tecnológico atual é vulnerável. Mesmo com investimentos massivos em ferramentas e equipes de segurança, os riscos de ataques cibernéticos permanecem altos. Diante da multiplicação desses ataques, é evidente que as arquiteturas de sistemas de informação atuais já não correspondem às exigências de segurança de dados. Assim, do mesmo modo que a revolução do Big Data transformou o armazenamento e recuperação de informações, é imperativo repensar nossa abordagem de sistemas.

Sistemas centralizados são intrinsecamente suscetíveis a falhas. Uma única vulnerabilidade pode comprometer todas as operações de negócios vinculadas. Isso questiona a viabilidade dos tradicionais ERPs, onde todos os dados corporativos são armazenados em bancos de dados centralizados.

Hiperconvergência: Blockchain, MultiCloud e Microsserviço

A solução emergente para essa ameaça cibernética está na descentralização das informações. E isso pode ser alcançado por meio da confluência de três pilares tecnológicos: Blockchain, MultiCloud e Microsserviço.

• Blockchain: Uma cadeia crescente de registros interligados criptograficamente. Devido à sua natureza, modificar um registro altera todos os subsequentes, tornando as alterações retroativas quase impossíveis. A descentralização dos dados oferece recuperação robusta em caso de comprometimento.
• MultiCloud: Utiliza diversos serviços de armazenamento e computação em nuvem, distribuindo ativos e sistemas em vários ambientes, reduzindo a dependência de um único provedor.
• Microsserviços: São pequenas unidades de software independentes que se comunicam por meio de APIs, proporcionando agilidade no desenvolvimento.

A sinergia entre essas três tecnologias oferece aos sistemas de informação corporativos uma armadura contra ameaças cibernéticas, garantindo operações mais resilientes, flexíveis e seguras.

Vale mencionar que essa abordagem hiperconvergente também favorece a integração com toda a cadeia de valor das empresas.

Em face dos riscos, o investimento na conversão de sistemas tradicionais pode parecer oneroso. No entanto, quando comparado com potenciais perdas – como as sofridas pelas Americanas – a decisão torna-se clara.

Uma pesquisa mostra que a comunidade de TI espera que a inteligência artificial (IA) ajude a evitar os ataques hackers cada vez mais sofisticados e frequentes, ajudando as equipes internas de segurança no gerenciamento dos eventos adversos e que possam tomar decisões, autonomamente, de resposta aos ataques para evitar danos as organizações. A pesquisa com 5.400 profissionais de TI em 30 países em organizações entre 100 e 5.000 funcionários realizada entre janeiro e fevereiro de 2021, por Vanson Bourne, intitulada “The IT Security Team: 2021 and Beyond”, mostra a preocupação com o crescente número de ataques hacker e a necessidade de ferramentas e tecnologias mais avançadas para auxiliar as equipes de segurança.

Os frequentes ataques hackers provocando vazamento de informações de clientes e danos as informações internas, como o ransomware, aumentam a necessidade de ferramentas baseadas em IA para a tomadas de decisão por algoritmos de IA para evitar e bloquear os ataques. Isto é necessário, pois os hackers têm acesso a tecnologias de IA, que estão cada vez mais acessíveis e difundidas. Com o uso de dados pessoais dos clientes é possível simular seus comportamentos e enganar os algoritmos tradicionais de monitoramento e detecção de ataques e fraudes.

Mais investimentos em segurança da informação são necessários para evitar prejuízos financeiros e de imagem das organizações. Por exemplo, a média dos valores de resgate de um ataque de ransomware é de US$570 mil, o equivalente a R$2,8 milhões), porém o prejuízo se amplia para cerca de US$800 mil, considerando o tempo de restauração de backup, contratação de serviços especializados em recuperação, ambiente indisponível, entre outros.

A pesquisa mostra que 64% das empresas brasileiras, 200 do total da pesquisa, tiveram algum incidente de segurança em 2020, dos quais 38% de ataques de ransomware. Isto coloca o Brasil no terceiro lugar no mundo em aumento de ataques cibernéticos. A pesquisa ainda mostra que 53% das empresas brasileiras que suas equipes de segurança cibernética não conseguem lidar sozinhas com estes ataques.

A implantação de ferramentas de IA para segurança cibernética não é tão simples. Como temos que treinar os algoritmos para bloquear os ataques, isto depende do tipo de atividade da organização. Os algoritmos de IA dos hackers irão analisar o funcionamento dos mecanismos de segurança de acesso dos clientes de um banco e com dados vazados de outras empresas, podem solicitar informações especificas por meio de SMS ou WhatsApp para simular os acessos dos clientes. No setor elétrico, que oferece um serviço alta criticidade para a economia, os hackers podem a partir de ataques de negação de serviço (DDoS) em equipamentos de borda, descobrir os processos de contingência para continuidade dos serviços, que podem oferecer menor resistência a ataques.

Para o treinamento dos algoritmos é necessário ter casos concretos de ataques, que podem ser produzidos pelos Red Teams, equipes que buscam vulnerabilidades no sistema de segurança da organização, ou de forma indesejável por eventos reais ocorridos contra a organização. O papel dos Blue Teams, equipe que buscam soluções para evitar os ataques, é importante para testar os algoritmos com a simulação de várias formas de evitar os ataques.

Investir em ferramentas mais sofisticadas de segurança cibernética, baseadas em IA, é fundamental para aumentar a proteção das organizações, incluindo o treinamento das equipes em IA.

Depois da revolução da informação, estamos vivendo a revolução da sustentabilidade. A preocupações globais com o meio ambiente e direitos humanos assumiram as agendas de executivos e fazem parte das estratégias corporativas. A transformação digital está perdendo espaço nas organizações e crescendo o conceito de transformação sustentável, baseado em critério do ESG – Environmental, Social and Governance.

A governança da sustentabilidade deve estar inserida na governança corporativa, assim como outros critérios de avaliação de desempenho das organizações. Desta forma, é importante conhecer os critérios do G do ESG.

A tabela a seguir apresenta oito critérios importantes, baseados nos estudos da RobecoSAM, uma gestora de ativos conhecida por sua Avaliação de Sustentabilidade Corporativa (CSA), resultando em uma pontuação geral de sustentabilidade para empresas.

Critérios	Tópicos
Governança corporativa	Estrutura do conselho, diversidade, eficácia, experiência, posse Remuneração executiva Exigência de propriedade gerencial
Códigos de conduta empresarial	Códigos de conduta Corrupção e suborno Sistemas/procedimentos Relatórios de violações
Gerenciamento de riscos e crises	Governança de risco e cultura Análise de sensibilidade e testes de estresse Riscos emergentes
Gestão da cadeia de suprimentos	Conhecimento da cadeia de suprimentos e exposição ao risco Código de conduta fornecedor Integração do ESG na cadeia de suprimentos
Estratégia fiscal	Estratégia fiscal Relatórios fiscais Governança fiscal
Materialidade Influência política Medição de impacto	Materialidade Contribuições Avaliação e divulgação de impacto

O primeiro critério é a governança corporativa, que avalia os sistemas que garantem que uma empresa seja administrada no interesse de seus acionistas, baseado nos princípios de transparência, prestação de contas, responsabilidade corporativa e equidade. Estes princípios são a base de qualquer empresa, principalmente as de capital aberto listadas nas bolsas de valores.

Os códigos de conduta empresarial abordam a ética empresarial e se o código de conduta e as práticas de conformidade da empresa são robustos o suficiente para prevenir o suborno e a corrupção na organização, principalmente em países com leis anticorrupção fracas que ficam mais expostas a riscos de reputação e legais.

A gestão de riscos e crises avalia a eficácia da organização e práticas de gestão de riscos da empresa, incluindo a independência da gestão de riscos das linhas de negócios, bem como a identificação de riscos de longo prazo, seu impacto potencial e os esforços de mitigação da empresa. Importante que a organização evite situações de conflitos de interesse dentro da organização.

O gerenciamento da cadeia de suprimentos está se tornando cada vez mais importante à medida que as empresas se expandem para operar em nível global. Quando uma empresa terceiriza sua produção, serviços ou processos de negócios, ela também terceiriza suas próprias responsabilidades corporativas e sua reputação. As empresas precisam ter estratégias para gerenciar os riscos e oportunidades associados apresentados por sua cadeia de suprimentos.

Os critérios de estratégia fiscal avaliam o grau em que a empresa possui uma política clara na abordagem das questões fiscais e uma consciência dos riscos extra financeiros associados às práticas fiscais da empresa.

A pontuação de materialidade visa avaliar a capacidade da empresa de identificar as fontes de criação de valor de longo prazo, compreender a ligação entre as questões de longo prazo e os casos de negócios, desenvolver métricas de longo prazo e relatar publicamente esses itens de forma transparente, baseado nos princípios de governança corporativa.

A influência de políticas avalia a quantidade de dinheiro que as empresas estão alocando para organizações cuja função principal é criar ou influenciar políticas públicas, legislação e regulamentos. As empresas também são solicitadas a divulgar as maiores contribuições para esses grupos.

A medição e avaliação de impacto procura avaliar se as empresas têm programas sociais, como investimentos sociais estratégicos, e se estão medindo e avaliando seus impactos sociais com métricas consistentes. As empresas devem analisar os impactos das externalidades que não estão refletidas atualmente na contabilidade financeira, mas que, com o tempo, podem ter o potencial de se tornar precificadas.

Estes critérios adicionais as práticas de governança tradicionais são necessários para alinhar as organizações no novo cenário de negócios baseado em questões ambientais e sociais dentro de uma nova conjuntura econômica.

Quando analisamos um trem de valor de fornecimento vemos, basicamente, quatro atores: o criador, o produtor, o distribuidor e o consumidor final. O criador desenvolve ou fabrica um artefato (hardware ou software) que é uma parte de um produto. O produtor faz a integração de vários artefatos que, por sua vez, entrega para um distribuidor vender para o consumidor final. Cada parte vagão do trem de valor é remunerado pelo valor agregado ao processo. Por exemplo, a Microsoft desenvolve o sistema operacional Windows (criador), entrega para a Dell que instala em seus PCs (produtor) que, por sua vez, entrega para uma rede de lojas (distribuidor) para vender para o consumidor final. Neste trem de valor existem diferentes opções, como a Microsoft vende diretamente o Windows para o consumidor final, via download de arquivos ou via distribuidor. A Dell pode vender seus PCs diretamente para o consumidor final, atuando como produtor e distribuidor. As vantagens e desvantagens da intermediação e desintermediação na cadeia de fornecimento deve ser tratada caso a caso.

A princípio podemos pensar que o custo final de um produto seria mais barato se eliminarmos os intermediários. Entretanto, isto pode não acontecer. Por exemplo, os grandes portais de vendas online, como Amazon e Mercado Livre, são modelos típicos de intermediários, que agregam alto valor no processo de venda, pois concentram em um único local, em seus marketplaces, vários criadores, produtores e até mesmo distribuidores que se valem da poderosa infraestrutura do portal de vendas, com mecanismos de sugestões, meios de pagamento, sistemas antifraude e um sistema logístico para entrega de encomendas eficiente, com rastreamento das encomendas em tempo real. Sem esta sinergia e compartilhamento de recursos, em muitos casos, os consumidores pagariam mais caro pelos produtos.

Além da infraestrutura de comércio eletrônico dos grandes portais de vendas, eles trazem uma outra grande vantagem, a confiabilidade. Muitos consumidores concordam em pagar um pouco mais por um produto para ter a garantia de entrega e restituição do dinheiro em caso de problema com a compra.

Por outro lado, existem vários outros trens de valor de fornecimento que a intermediação traz grandes vantagens. Por exemplo, no mercado editorial onde o trem clássico é o autor (criador), a editora (produtor) e a livraria (distribuidor) para a venda do livro para o leitor é possível eliminar um ou dois vagões do trem de valor. No caso do serviço Kindle da Amazon o autor pode produzir e publicar o seu livro diretamente no marketplace da Amazon, eliminando a editora e a livraria. Ou ainda, a editora pode vender os livros diretamente para os leitores. Neste exemplo, o vagão mais vulnerável é a livraria, pois outros vagões podem assumir sua função. Isto levou a muitas livrarias a se reinventarem ou outras a fecharem seus negócios.

Durante a pandemia da Covid-19 as vendas online tiveram um grande salto, em função das restrições de circulação das pessoas e pelo fechamento temporário das lojas. Muitos criadores e produtores desenvolveram meios de entregas diretas para os consumidores utilizando os serviços de entregas de aplicativos, como o Rappi e iFood, ou couriers tradicionais, como os Correios.

Em projetos de transformação digital deve-se analisar, cuidadosamente, os modelos de intermediação e desintermediação para decidir qual o melhor para o negócio.