Autor: Eduardo Fagundes

O ERP baseado em nuvem está se tornando popular pelo baixo custo de implantação levando excelência operacional para as PMEs (pequenas e médias empresas). As grandes empresas ainda mantem seus ERPs no modelo on-premises (auto hospedado em datacenter próprio). Segundo o (Gartner, 2020), o SAP s/4HANA Multi-Tenant Edition Cloud representa apenas 5% dos grandes clientes da SAP, ou seja, 95% das grandes empresas ainda utilizam o modelo on-premises. Isto abre uma enorme oportunidade para as PMEs oferecerem produtos com preços mais competitivos do que as grandes empresas, somando-se a uma estrutura mais enxuta e modelos de negócios mais flexíveis e escaláveis. As startups são as mais beneficiadas com os ERPs na nuvem, pois conseguem implantar processos operacionais eficientes, sem grandes investimentos iniciais e gastos compatíveis com suas receitas, permitindo ter foco no seu negócio principal.

Segundo o relatório de mercado de software ERP Software Industry Outlook – Forecast (2020-2025) da (IndustryARC, 2020), o mercado global de ERP de atingir US$48,21 bilhões em 2025, crescendo a uma taxa composta anual de crescimento (CAGR) de 7,88% durante 2020-2025. Segundo o relatório, em 2018 a penetração mundial de softwares de ERP era baixa em empresas nas PMEs devido aos altos custos de implementação. Com o advento dos ERPs baseados em nuvem os custos estão diminuindo continuamente e é esperado um crescimento de 40% até 2025, entre as PMEs.

As indústrias de processo e manufatura estão seguindo o caminho da IoT industrial para melhorar a eficiência operacional, o que resultará na geração de uma grande quantidade de dados e terá um impacto positivo no mercado de software ERP. O mercado de IoT industrial deve atingir US$ 100 bilhões em 2025, crescendo a uma CAGR de 18,56% durante 2020-2025, segundo o relatório da (IndustryARC, 2020). Nesta perspectiva, soluções com Big Data e inteligência artificial para a indústria são importantes para aumentar a eficiência operacional dos negócios.

Segundo o (Gartner, 2020), em 2022, 30% das grandes empresas terão migrado para uma abordagem centrada no produto, com recursos dos ERPs padronizados para o seu negócio. O Gartner define um pacote de ERP em nuvem centrado no produto como um conjunto de produtos fracamente acoplados para a gestão da cadeia de suprimentos e funcionalidade relacionada à manufatura, funcionalidades de gerenciamento financeiro, compras, gerenciamento de custos e módulos especializados, como produção sob pedido e gerenciamento de serviços de campo.

Dentro do segmento de ERPs centrados no produto em nuvem, o (Gartner, 2020) cita nove produtos: Oracle (ERP Cloud); Infor (CloudSuite); Microsoft (Dynamics 365); Epicor Software; IFS; Oracle (NetSuite ERP); QAD; Acumatica; e, Plex Systems. Um forte fornecedor na América do Sul é a brasileira Tovts.

A expectativa é que a pandemia da Covid-19 acelere as implantações de ERPs na nuvem, pois as empresas, principalmente as PMEs, devem buscar soluções mais eficientes e de baixo custo para apoiar suas operações e, prováveis, novos modelos de negócios.

Projetos de migração de plataforma são complexos e caros. A tomada de decisão de migração deve estar apoiado no retorno do investimento (ROI) e fatores de risco. Uma grande instalação de ERP, certamente implica em uma grande quantidade de customizações ao longo dos anos, o que torna a estratégia de migração para a nuvem complexa e única para cada empresa. Um dos pontos mais levantados pelos CIOs é a complexidade da sua arquitetura de TI que sem um planejamento minucioso eleva os riscos de migração. Obviamente, que a decisão não pode ficar na subjetividade, cada empresa de elaborar um estudo detalhado para avaliar as vantagens e riscos da migração para a nuvem, principalmente empresas de capital aberto, que devem garantir a melhor eficiência a custos baixos para seus acionistas.

Outra vantagem da migração e adoção de ERPs em nuvem para as PMEs e startups e a pequena estrutura organizacional de suporte ao ERP, ao contrário de estruturas organizacionais de ERPs on-premise. Em um ambiente em nuvem, toda a infraestrutura de datacenter, ambiente de software, correções de software, upgrades de versões, adequações a novas legislações entre outras, são de responsabilidade do provedor de serviços. A equipe da empresa fica encarrega da gestão e atendimento aos usuários internos.

Entretanto, é essencial que a empresa se detenha nas configurações parametrizáveis do software, evitando desenvolvimentos próprios de adequação dos processos internos da empresa. Lembrando, que os ERPs são para levar excelência operacional as empresas e reduzir custos. A não ser que um desenvolvimento interno prove que tenha um impacto significativo na eficiência nas operações da empresa, ele deve ser evitado.

Outro ponto a destacar é que a implementação de um ERP na nuvem não é, necessariamente, um projeto de transformação digital, e sim uma automatização e integração de processos, em que geralmente não traz uma vantagem competitiva para a empresa, apenas melhora sua eficiência operacional. Se os processos de negócios da empresa não são competitivos, o ERP irá refletir a ineficiência. Para aproveitar o investimento da migração para um ERP na nuvem é importante associá-lo a outros projetos de transformação digital.

Nas análises de retorno de investimento, é necessário adotar o conceito de TCO (Total Cost Ownership), ou seja, considerar todos os custos envolvidos no processo, como por exemplo, o custo dos funcionários parados ou com baixa produtividade devido a paralizações ou lentidão do atual sistema de gestão. Deixar de considerar estes aspectos acabam distorcendo as análises e, muitas vezes, inviabilizando projetos de adoção de novas tecnologias.

A pandemia do Covid-19 nos trouxe um novo normal e devemos reagir frentes aos novos desafios dos negócios. Adotar novas tecnologias e abordagens estratégicas fazem parte deste contexto.

Referências

Gartner. (22 de junho de 2020). Magic Quadrant for Cloud ERP for Product-Centric Enterprises. Fonte: Gartner: https://www.gartner.com/doc/reprints?id=1-6I4O262&ct=190409&st=sb&aliId=eyJpIjoiSHRKTnFRUUszZFFpbmVTQiIsInQiOiJhbk9Ib0N3NkY3TnFHcWdPcktEVG9RPT0ifQ%253D%253D

IndustryARC. (2020). ERP Software Market – Industry Analysis, Market Size, Share, Trends, Application Analysis, Growth And Forecast 2020 – 2025. Fonte: IndustryARC: https://www.industryarc.com/Research/ERP-Software-Market-Research-502166

A pandemia do Covid-19 trouxe uma profunda reflexão nos modelos de negócios das empresas. Mostrou a necessidade de acelerar a digitalização dos processos e focar na inovação para encontrar novas formas de trabalho e cortar custos. A transformação digital deixou de ser uma buzzword e tornou-se uma iniciativa prioritária para as empresas. O desafio é implementar uma metodologia para a inovação digital e mudar a cultura organizacional.

A Covid-19 dará início a um mundo onde a insegurança e a imprevisibilidade constituem o novo normal, segundo Tony Blair em entrevista a revista Time (22/10/2020). Segundo ele, o impacto disso, junto com a enorme conta da ressaca para lidar com o vírus e a perda da atividade econômica, será um fardo a mais para os mais vulneráveis. A injustiças pré-existentes parecerão ainda mais inaceitáveis, liberando a raiva reprimida e, possivelmente, uma agitação social. As divisões sociais ficarão ainda mais evidentes e exigirão liderança politica para analisar, compreender, explicar e apontar o caminho, segundo Blair.

Neste cenário de incertezas as empresas devem se adaptar ao novo normal, buscando novos modelos de negócios fortemente apoiados na digitalizarão e robotização dos processos industriais e administrativos.

O primeiro passo é criar cenários prospectivos futuros para o negócio em particular, não apenas seguindo as opiniões de especialistas de mercado ou apoiando-se na legislação vigente. Devem exercitar novas formas de atender os clientes com fortes diferenciais com o menor custo possível. Os métodos de cenários prospectivos indicam as melhores estratégicas para cada situação e quais os atores influenciadores. Com isto, as empresas podem agir de forma direta e eficaz nas ações de transformação de seus modelos de negócios.

Neste contexto, a digitalização é fundamental, criando mecanismos de comunicação em massa e altamente escaláveis, permitindo estabelecer um novo paradigma de margem de lucro. A redução do lucro por produto ou serviço é substituída pelo aumento de volume de vendas, sem aumentar os custos diretos e indiretos.

Nos processos fabris a robotização extrema, conhecida como Industria 4.0, trará flexibilização e aumento da produção sem aumento dos custos fixos. A robotização dos processos fabris traz a redução de dois custos significativos de produção, mão de obra e energia. A mão de obra é reduzida pela automação dos processos com o uso intensivo de robôs programados através de inteligência artificial, permitindo o setup rápido da linha de produção, reduzindo a ociosidade da linha de produção. A robotização melhora a eficiência energética, permitindo que as linhas de produção operem em horários de menor custo da energia.

A robotização dos processos administrativos, através de ferramentas de RPA (Robotic Process Automation), permite uma redução drástica do tempo das transações administrativas e um menor contingente de funcionários administrativos, significando maior eficiência e menores custos indiretos.

Reduzir a dependência de insumos externos é um fator estratégico importante, considerando a crescente deteriorização da relação EUA-China e como a comunidade internacional irá encontrar novas formas para cooperar com a China, bem como competir com ela e, até mesmo enfrentá-la. A China antes competitiva pela mão de obra barata e subsídios para a exportação, agora se torna altamente competitiva com a extrema robotização de processos e uso intensivo de inteligência artificial, associado ao aumento significativo de mão de obra especializada.
No Brasil, o exemplo do sucesso do agronegócio, que alcançou excelência internacional com o uso intensivo de tecnologia, deve ser seguido por outros setores da industria. O agronegócio foi pouco afetado no estágio inicial da pandemia da Covid-19 e favorecido pela valorização do dólar frente ao real, porém no médio e longo prazo pode ser afetado pela dependência de insumos externos, impactos pelo câmbio, e pela redução da renda da população dos países importadores. O agronegócio, assim como o restante da industria no Brasil, devem encontrar novos modelos de negócios para enfrentar a era pós-Covid-19.

A transformação digital dever ser antecedida pela transformação da cultura organizacional, com o objetivo de eliminar barreiras internas resistentes às mudanças. Deve ser implantado um amplo programa de requalificação dos funcionários e identificar aqueles que podem liderar as transformações necessárias na organização. Um forte liderança é fundamental para o sucesso da transformação digital, evitando que conflitos internos atrasem a implementação das mudanças. Negligenciar esta parte aumenta as chances de insucesso dos projetos.

Obviamente, que este movimento de transformação dos negócios afetará a maioria dos trabalhadores, podendo criar tensões sociais, como afirmou Blair. Aqui se coloca a importância da política e da responsabilidade social das empresas, criando programas de requalificação profissional e programas sociais de auxilio aos trabalhadores afetados por transformações tecnológicas e dos processos de negócios.

Estas transformações são inevitáveis, a pandemia da Covid-19 acelerou e deu urgência nas ações de transformação digital e cultural nas organizações.

A rápida evolução da automação industrial com a introdução de IIoT – Industrial Internet of Things – permite, através de sensores e outros dispositivos interconectados em rede junto com aplicações industriais o controle da produção e o gerenciamento de energia. Uma outra função de deve ser explorada é a proteção dos sistemas industriais contra ataques cibernéticos e outras vulnerabilidades associadas a segurança da informação. Para reduzir investimentos, é importante buscar sinergia entre os projetos.

O IIoT oferece maior grau de automação, comparado a sistemas mais antigos, e se beneficia com o uso de outras tecnologias, como a computação em nuvem, para armazenar grandes volumes de dados, e inteligência artificial (IA), permitindo melhores controles dos processos industriais. O IIoT facilita o controle de equipamentos e a coleta de dados em tempo real, potencializada com o uso do 5G, permitindo a rápida troca de dados entre robôs na linha de produção para a reconfiguração da linha de produção para a manufatura de novos produtos.

O uso de IA na manufatura é cada vez mais útil para atender, rapidamente, as demandas dos consumidores, otimizar os insumos industriais, aumentar a proteção contra ataques de hacker e reduzir dos custos do uso de energia. O aumento de capacidade de processamento e armazenamento de dados de pequenos dispositivos remotos permite executar softwares com IA na ponta, trazendo respostas mais rápidas e controles em tempo real para ajustes de configuração de equipamentos e desligamentos para prevenir falhas.

Na área de eficiência energética, a programação das linhas de produção deve considerar o consumo de energia em cada etapa da produção e estabelecer fluxos de produção baseados nas tarifas preço-horário do mercado de energia. A automação das linhas de produção com o uso de IA é importante para tornar a produção mais flexível e atender aos novos marcos regulatórios do setor de energia no Brasil, com os incentivos para a compra de energia no mercado livre e geração distribuída de energia renovável.

Com a convergência das tecnologias, as organizações de TI e TO estão se integrando cada vez mais, aumentando a sinergia no controle e integração de processos. Veja a tabela 1, que descreve as atribuições de cada organização.

	Tecnologia da Informação (TI)	Tecnologia Operacional (TO)
Propósito	Gerenciar informações, automatizar processos de negócios	Gerenciar ativos e eventos, controlar processos da planta
Foco	Confidencialidade	Segurança e disponibilidade
Arquitetura	Transacional, sistema de gerenciamento de banco de dados, publicação ou colaboração	Orientado por eventos, tempo real, software embarcado, baseado em regras
Interfaces	Navegador web, terminal e teclado	Sensores, interfaces de usuário proprietárias
Custódia	CIO, infraestrutura, operações e aplicativos profissionais	Engenheiros, técnicos e gerentes de fábrica
Conectividade	Rede corporativa, baseado em IP, redes móveis sem fio	Controle de redes, cada vez mais baseados em IP e em redes sem fio
Exemplos	ERP, gerenciamento da cadeia de suprimentos, CRM, e-mail, gerenciamento de ativos corporativos e faturamento	Sistemas de controle integrados, sistemas de segurança, controladores lógicos programáveis, interfaces humano-máquina, historiadores de dados, sistema de carregamento de caminhões e sistema de aferição de tanques.

No passado distante, a segurança da informação na TO, era resolvida com o uso de redes de comunicação apartadas da rede corporativa. Entretanto, esta solução foi invalidada com o caso do worm Stuxnet em 2010 que afetou o funcionamento do sistema de controle de supervisão e aquisição de dados (SCADA) da usina de beneficiamento de uranio do Irã, arruinou quase um quinto de suas centrífugas nucleares. Este worm já infectou mais de 200.000 computadores e fez com que 1.000 máquinas se degradassem fisicamente, segundo dados de 2017. Desta forma, é fator crítico proteger os sistemas industriais de ataques de hackers.

O NIST – National Institute of Standards and Technology – uma agência do governo americano, não regulatória, recomenda o uso de uma estrutura de segurança cibernética com orientações para o setor privado americano avaliar e melhorar sua capacidade de prevenir, detectar e responder a ataques cibernéticos. A tabela 2 apresenta as cinco funções da estrutura de segurança do NIST.

Identificar	As organizações devem desenvolver uma compreensão de seu ambiente para gerenciar os riscos de segurança cibernética. É essencial ter plena visibilidade dos ativos digitais e físicos e suas interconexões. As organizações em conformidade também devem ter funções e responsabilidades definidas, entender o nível atual de exposição e colocar políticas e procedimentos em prática para gerenciar esses riscos.
Proteger	As organizações devem desenvolver e implementar salvaguardas apropriadas para limitar ou conter o impacto de um incidente cibernético. Isso significa, controlar o acesso a ativos digitais e físicos, aumentar a conscientização dos funcionários através de treinamentos e colocando os processos em prática para manter os dados seguros. As organizações em conformidade deverão mantar os dados de configuração e das operações da rede para reparo dos componentes do sistema. A tecnologia de proteção deve ser implantada para melhorar a resiliência cibernética.
Detectar	Uma organização deve ter a capacidade para identificar rapidamente ameaças cibernéticas. Soluções de monitoramento que detectam atividade anômala e outras ameaças à operação são necessárias para cumprir essa função. A observação contínua e a busca por ameaças cibernéticas são formas eficazes para avaliar e prevenir incidentes cibernéticos no ambiente de produção.
Responder	Uma organização deve ser capaz de conter ataques cibernético. Devem ser criados planos de resposta para definir canais de comunicação entre diferentes stakeholders. A organização também deve coletar e analisar informações relacionadas ao ataque, erradicar qualquer ameaça ativa e incorporar lições aprendidas em estratégias de resposta revisadas.
Recuperar	As organizações devem desenvolver e implementar planos de ação para recuperar os serviços após um ataque cibernético. É vital coordenar a atividade de restauração com todas as partes afetadas.

A ISA/IEC-62443 é uma série de normas que definem os procedimentos para a implementação de sistemas de automação e controle industrial (IACS) eletronicamente seguros. O sistema deve fazer a prevenção de interferência (intencional ou não) dos sistemas de controle que gerenciam serviços essenciais, incluindo energia, produção de petróleo, água, transporte, manufatura e comunicações. Isto porque todos estes serviços dependem de redes de computadores, sistemas operacionais, aplicativos e controladores programáveis (PLCs), que possuem, intrinsicamente, cada um deles vulnerabilidades de segurança. Aqui, mais uma razão para o uso de sistemas de IA para prever falhas críticas, envolvendo um grande de equipamentos em um parque industrial.

A família de normas ISO 27.000, apresenta as diretrizes para um sistema de gestão de segurança da informação (SGSI), relacionadas à segurança de dados digitais e sistemas de armazenamento eletrônico. As normas apresentam diretrizes desde a implementação de um SGSI até pontos mais específicos, como o gerenciamento de risco.

Uma boa oportunidade de sinergia é a implantação da ISO 27.000 juntamente com a ISO 9.000, uma vez que os objetivos das normas é garantir a qualidade e a disponibilidade dos processos das empresas.

Em resumo, é desejável que as empresas implementem modelos de governança corporativo e gestão de tecnologia dentro de uma visão holística e integração entre a TI e a TO, aproveitando ao máximo a sinergia dos projetos, garantindo melhores controles e redução de custos.

O elo mais fraco na segurança da informação são as pessoas, conhecido como engenharia social. A vulnerabilidade está na imprevisibilidade das ações das pessoas no tratamento de informações proprietárias e sigilosas das empresas, incluindo não só documentos como o compartilhamento de senhas. As empresas podem aproveitar as técnicas de análise de marketing digital para conhecer melhor seus funcionários e usar este conhecimento na alocação dos funcionários com melhor perfil de segurança em processos críticos, buscando reduzir os riscos cibernéticos.

Um dos maiores problemas atuais da web são os ataques de Ransomware, um vírus de computador que assume o controle do computador e criptografa os dados. Os mais famosos são Reveton, CryptoLocker e WannaCry. Depois do ataque, os hackers exigem um resgate em bitcoin para o retorno das operações. Os ataques de Ransomware são os mais lucrativos dos malwares conhecidos, em funcionamento desde 2010.

Infelizmente, o ritmo de ataque se intensificou nos últimos meses, principalmente, pela intensificação do trabalho remoto – homeoffice – e uso de computadores pessoais do funcionário na modalidade BYOD – Bring your own device.

Os principais alvos de ataques de Ransomware são hospitais, que se submetem a pagar os resgastes para voltar ao normal, devido ao alto risco de suas operações. Um dos mais recentes ataques foi em uma rede hospitalar e de saúde com mais de 400 instalações nos Estados Unidos, Porto Rico e Reino Unido (27/9/2020), derrubando suas redes de computadores em vários locais. Com isto, alguns pacientes tiveram que ser realocados para outras salas de emergência e os controles passaram a ser feitos em papel. Esta rede tem 90.000 funcionários e trata cerca de 3,5 milhões de pacientes por ano, sendo uma das maiores redes hospitalares e de saúde dos Estados Unidos.

Uma forma de ataque de Ransomware é aproveitando falhas de segurança dos sistemas operacionais. As falhas de sistemas operacionais são corrigidas pelos fornecedores periodicamente, entretanto, estas falhas se tornam públicas antes das correções, abrindo uma ampla vantagem para os hackers atacarem os sistemas das empresas alvo.

Outra forma de ataque é através de phishing, onde através de artimanhas digitais os hackers conseguem obter informações confidenciais das pessoas. Normalmente, os ataques de phishing são feitos através de falsificação de e-mail, mensagens instantâneas e websites falsos.

No caso de phishing, os responsáveis por facilitar os ataques são os funcionários, através da abertura de e-mails fraudulentos ou acesso a websites externos duvidosos. Existem até casos onde o funcionário conecta um pendrive desconhecido ou particular no computador da empresa.

Para reduzir a vulnerabilidade cibernética de ações de funcionários, podemos pegar emprestado algumas técnicas de marketing digital para definir os traços psicológicos e comportamento dos funcionários usando ferramentas de inteligência artificial, a exemplo que fazemos com os clientes. Conhecendo as características pessoais dos funcionários, conseguimos classificá-los em grupos de risco e definir diferentes equipamentos e procedimentos para eles.

Para grupos de maior risco, liberamos apenas terminais de acesso aos sistemas e sem acesso a websites externos. Para grupos com risco médio, liberamos o uso de computadores pessoais com apenas recursos suficientes para a execução de tarefas relativas a posição funcional e com a análises frequentes de logs de acesso. Para grupos de risco baixo, liberamos acesso mais amplo e análises de logs menos frequentes.

Obviamente, que isto não elimina a necessidade de treinamentos frequentes para formar uma cultura de segurança da informação.

O uso de novas abordagens e ferramentas para gestão de risco devem ser incorporadas a mentalidade estratégica de avaliação de risco e confiança contínua e adaptativa (CARTA – Continuous Adaptive Risk and Trust Assessment) para construir e aumentar as defesas de segurança da informação nas empresas.