Skip to content

TI para Negócios

Como fazer a tecnologia trabalhar pelo seu sucesso e da sua empresa

Archive

Category: Opinião

*Por Francisco Camargo, presidente da ABES

O setor de Tecnologia da Informação, segundo dados de estudo da Associação Brasileira das Empresas de Software (ABES) em parceria com o IDC (International Data Corporation), foi responsável por 60 bilhões de dólares em negócios no Brasil, colocando o Brasil em 7º lugar no Ranking mundial no ano passado.

Ainda segundo este mesmo estudo, é o setor que mais exporta serviços de TI (1,5 bilhões de dólares em 2016, exatamente). Sua importância em arrecadação tributária também é expressiva. Os encargos médios sobre o salário de um profissional chegam a 132%. Ou seja, para cada R$ 1 mil reais recebidos pelos trabalhadores, outros R$ 1,32 mil são pagos ao governo em encargos.

Em 2011, o setor de TIC informou ao governo que esse quadro estava piorando a competitividade do setor em termos gerais e da exportação de Software e Serviços de TI, em particular. As principais entidades do setor se uniram e fizeram uma proposta de política pública para estimular o desenvolvimento do setor de TIC.

Essa política pública levou a uma mudança inteligente no modelo de contribuição para a seguridade social, visando aumentar a arrecadação não só do INSS, mas também do Imposto de Renda Pessoa Física e do FGTS, reduzindo a informalidade, abrindo a possibilidade de se recolher o INSS sobre o valor do total da Receita Bruta (modelo CPRB) ou sobre o valor da Folha de Pagamentos (Modelo CPFP), à escolha das empresas.

Infelizmente, para o setor, isso foi apelidado como “Desoneração da Folha de Pagamentos”, o que pode ser parcialmente verdade para outros setores, mas não implicou na redução da arrecadação para o INSS somado ao Imposto de Renda das Pessoas Físicas e sim ao contrário.

Outros setores aproveitaram a onda e, sem fazerem maiores estudos, 58 outros setores conseguiram, opcionalmente, recolher pelo Modelo CPRB.

Recentemente, preocupado com a palavra ‘desoneração’, e também sem realizar estudos detalhados, o governo, analisando só os valores agregados, cortou esse modelo de recolhimento do INSS para quase todos os setores, exceto três, o que foi objeto da Medida Provisória 774.

Enquanto em todo o mundo se discute como a tecnologia impacta o mundo dos negócios e como as empresas de TI devem se posicionar para ajudar os diversos setores da economia em sua jornada para a transformação digital, o mercado brasileiro assiste decepcionado seu governo tomar decisões que colocam o país na contramão da inovação e da competitividade.

A decisão de tirar o setor de TIC da lista de empresas que poderiam recolher o INSS ou sobre a Receita Total ou sobre a Folha, preocupa o mercado, uma vez que, a previsão é que esta mudança acabe com milhares de empregos e no final acabe com redução da própria arrecadação.

Para o governo, esta iniciativa poderia ajudar a cobrir o rombo das contas públicas a curto prazo. Mas esta solução é muito discutível, pois poderia ocasionar um ajuste de custos nas empresas, impulsionar a volta de uma certa informalidade, gerando uma redução na arrecadação do INSS, do Imposto de Renda das Pessoas Física e do FGTS.

É preciso esclarecer que as empresas de software e serviços, sabendo do difícil momento por que passa o Brasil, não estão pedindo nenhum incentivo, mas a volta de uma Política Pública Inteligente, que permitiu o aumento de empregos, a melhora da competitividade do setor, o aumento conjunto da arrecadação do INSS, do Imposto de Renda de Pessoas Físicas e do FGTS e o aumento acelerado da exportação de software e serviços de TI.

Essa decisão contra um setor penetra transversalmente em todas as atividades econômicas, desde a agricultura até serviços e que hoje é o motor inovador da economia mundial.

Mudar essa política pública, no meio do ano, sem prazo para ajuste dos contratos de longo prazo, não colabora para melhorar a imagem do Brasil, pois mostra que a Segurança Jurídica não é um dos valores básicos do país, além de tornar as empresas brasileiras incapazes de competir de forma plena com outros países.

No último Índice Global de Competitividade publicado, o Brasil perdeu seis posições e ocupa, atualmente, a ridícula 81ª posição e isso é consequência de uma soma de fatores, desde a Falta de Segurança Jurídica, da complexidade tributária, do excesso de regulamentações, até o excessivo poder discricionário da fiscalização.

O futuro da inovação no Brasil depende das decisões que são tomadas hoje. Precisamos saber escolher o futuro que queremos.

*Francisco Camargo é Presidente da ABES – Associação Brasileira das Empresas de Software. Engenheiro de Produção pela Escola Politécnica, o executivo tem especialização pela Harvard University. Francisco Camargo é também fundador do Grupo CLM, distribuidor latino-americano focado em Segurança da Informação, Infraestrutura Avançada e Analytics.

Por Cynthia Bianco *

Todos os dias são descobertos novos esquemas de fraudes envolvendo programas e instituições governamentais. Estamos falando de recursos públicos em larga escala que deveriam ser destinados a populações mais carentes e que acabam indo parar nas mãos de golpistas, onerando não só os cidadãos como também o erário. Exemplos não faltam, aparecem novos casos diariamente, basta uma rápida folheada nas páginas dos jornais.

Para se ter uma ideia do tamanho do rombo, um levantamento do governo mostrou que, somente entre 2013 e 2014, cerca de 2,6 bilhões de reais do total da verba reservada ao Bolsa Família, foram parar no bolso de pessoas não vinculadas ao programa. Já no Seguro Desemprego, mais prejuízo: estima-se que os pagamentos indevidos realizados em 2016 corresponderam a algo entre 3% e 5% dos R$ 36,7 bilhões desembolsados para essa finalidade.

Combater essas fraudes não é tarefa fácil e, inevitavelmente, demanda grande organização e metodologia. Primeiramente, é necessário identificar as irregularidades, após, parte-se para a investigação; somente depois de analisados os fatos, confirma-se ou não o golpe. Saber a fundo tudo o que acontece, conhecer os perfis, padrões e até mesmo manter um histórico de informações, é crucial nesse processo. E o analytics é a tecnologia capaz de ajudar a obter as respostas certas.

As soluções de inteligência analítica permitem o cruzamento de diferentes informações e bases de dados, independentemente do volume. Tecnicamente falando, significa que sempre que uma fraude é constatada e confirmada, o sistema é capaz de apreender esse comportamento e compará-lo com outras situações similares, já ocorridas no passado ou que possam vir a ocorrer. E assim, desvendar padrões comuns e permitir atuar de maneira preventiva.

Foi exatamente o analytics que ajudou o MTb (Ministério do Trabalho) a descobrir uma quadrilha que forjava demissões e levantar suspeita sobre 40 mil pedidos de benefícios de seguro-desemprego que poderiam ser, na verdade, indevidos. Apoiando-se em uma plataforma analítica que reúne diferentes funcionalidades de integração, qualificação, governança e armazenamento de dados, inclusive em grande volume, e cruzando informações tanto de fontes internas como externas (INSS, Caixa Econômica Federal e Receita Federal), o MTb chegou a conclusões que permitiram bloquear milhões, que seriam pagos, entre agosto e dezembro de 2016, a cerca de 11,5 mil trabalhadores que legalmente não eram merecedores desse benefício. Descobriu-se, por exemplo, que uma única pessoa havia solicitado o benefício de seguro-desemprego por seis empresas diferentes; e que um CNPJ de uma microempresa, que normalmente emprega no máximo 10 funcionários, despediu simultaneamente 280 trabalhadores.

Tão claro quanto o fato de serem inúmeros os motivos que levam o fraudador a agir ou que viabilizam a sua ação, é evidente a necessidade de evitar esses golpes, seja na esfera pública ou até mesmo na privada. Afinal, as fraudes ocorrem também através de compras fraudulentas e homéricas nos mais variados canais de comércio eletrônico, sites de instituições financeiras invadidos, dados forjados e inúmeros outros estratagemas que vemos por aí. Ser preventivo, estar preparado para o processo de investigação e, principalmente, fazer de tudo para minimizar as perdas, são palavras chave nesse cenário. No qual, sem dúvida nenhuma, o analytics pode ser o grande protagonista.

Cynthia Bianco é presidente da MicroStrategy, um dos principais fornecedores mundiais de plataformas de software para empresas, que possui casos de sucesso e aplicações que ajudam a combater fraudes em empresas dos mais diversos segmentos de mercado, globalmente

Por André Facciolli, CEO da Netbr

Já vão se completando três décadas desde que a discussão sobre controle de privilégios em ambientes de acesso digital começou a ganhar corpo e a se constituir num arcabouço organizado de conceitos e metodologias que, lá nos anos 90, a indústria de TI batizou de SUPM (Super User Privileged Management).

Em seguida, já na virada de século, o avanço do movimento open source adaptou os princípios do SUPM para outras iniciativas compatíveis, como é o caso do SUDO (um acrônimo para Super- User- do).

Já de meados de 2000 em diante, outras evoluções apareceram e ganharam maior ou menor notoriedade, mas com destaque, sem dúvida, para as metodologias de cofre de senha (Vault) utilizando modelos como o SAPM (Share Account Privilege Management) e, mais recentemente, UAC (User Account Control).

Mesmo com toda esta tradição de debate e aplicação de modelos, a questão do gerenciamento de privilégios e dos conceitos de “privilégios mínimos” ainda não havia recebido um impulso significativo, a ponto de evitar que a violação de senhas com status de “admin” se tornasse o problema que é hoje.

De fato, segundo pesquisas recentes da Verison, pelo menos 81% das violações de dados em ambientes corporativos ocorrem a partir do uso de senhas lícitas, seja por meio de furto cibernético ou por mal uso de agentes internos (e seja este uso malicioso ou simplesmente desastrado).

Há, no entanto, uma clara tendência mundial a apontar para uma tomada de consciência no sentido de se vencer esse gap e se buscar uma atualização rápida das políticas de gerenciamento de privilégios.

Inúmeros são os fatores que poderiam ser elencados para essa nova atitude da indústria. Entre eles, estão o amadurecimento das tecnologias e o apuro cada vez maior das estatísticas de vulnerabilidade (que servem para a alertar sobre a gravidade do problema).

Outro aspecto central a se considerar é a atual corrida pela transformação digital (que compreende sempre algum movimento de disrupção) e na qual os controles de privilégio acabam alcançando um nível de importância estratégico, tendo em vista os constantes ajustes e reajustes estruturais que passam a ser exigidos para as plataformas de negócios, baseado em automação, microserviços e segredos.

Não é por acaso que os Analistas de Mercado enxergam a emergência de um boom em tecnologias nessa área, que sairiam de um nível ainda incipiente de negócios para o patamar de US$ 2 bilhões nos próximos três anos, e compreendendo-se aí apenas tecnologias específicas para o nicho de privilégios.

Também contribui para o novo cenário a disseminação das plataformas open source (nas quais a atribuição e uso de privilégio carrega ainda mais complexidade devido ao alto índice de cooperação envolvido em processos críticos), a consolidação de ambientes de big data e o alastramento da cultura SecDevOps, onde desenvolvimento, segurança e operação se constituem num único processo.

É diante desta confluência de fatores que o controle de privilégio necessita encarar uma equação realmente dura de roer. De que maneira obter agilidade de desenvolvimento e operação se é necessário ao mesmo tempo criar barreiras pesadas à expansão e emprego indiscriminado de privilégios? Como estabelecer o equilíbrio da segurança de acesso com a exigência de acesso rápido em função de exigências de um contexto tangenciado por dados desestruturados e fluindo em velocidades altíssimas?

São impasses assim que talvez ajudem a explicar alguns dos principais entraves para a adoção de privilégios mínimos. Tal como já dizia a ciência social, podemos hoje recitar, sem risco de erro, em relação aos privilégios de acesso: ownership is power.

As soluções de privilégio, adequadas ao cenário disruptivo, são as que entendem o controle como “meio” e não como “fim”. No fim estão a eficiência e a velocidade, enquanto a aplicação de controle está, em geral, na posição oposta.

A saída do impasse, nessa visão, se dá pela criação de uma camada intermediária (aberta) para colocar uma imposição de ordem estrita nos acessos privilegiados, mas tornando-os, ao mesmo tempo, tão rápidos quanto possível.

A ideia de isolar a questão e de criar um âmbito específico para disciplinar e engatar as engrenagens do acesso privilegiado, sempre segundo regras de negócio seguras, ajuda de forma efetiva a enfrentar a complexidade e a ganhar desenvoltura na solução desse problema.

Mas tartarugas insistem em existir, e não poderiam faltar também aqui. Entre essas muitas tartarugas está a arquitetura de software das aplicações em uso que necessitam ser consideradas como premissa para interposição de camada de acesso privilegiado.

Numa configuração ideal, tais aplicações e sistemas necessitam passar a embarcar (no sentido de trazer embutido) uma fonte de geração de chaves efêmeras, geradas “a quente”, digamos assim, no ato da execução de cada processo.

Mas sabemos o quanto é difícil adequar soluções comerciais, de fornecedores consolidados, com os preceitos de uma nova cultura de SecDevOps e com novas plataformas baseadas em sistemas abertos.

Não vemos como algo banal precisar adequar as demandas atuais de gestão de credenciais (usuários e senhas), com uma demanda, bem mais ampla, que é a de gestão de segredos (como exigir para o acesso a informação sobre qualquer coisa ou sobre qualquer lugar ou sobre estes e outros tópicos entrecruzados).

Entendemos a dureza que é ter de adequar os requisitos técnicos de hoje (tais como vaults proprietários), com requisitos técnicos emergentes (plataforma open). Requisitos estes que incluem múltiplos aspectos críticos, tais como a obrigação de transparência, políticas explicitas de permissão, publicação de acesso obrigatória, sujeição a padrões abertos, automação, escalabilidade, facilidade, usabilidade, independência, reuso, distribuição, compartimentalização, workload, high frequency authentication.

Encarando toda essa problemática, chega a parecer um paradoxo ter de adotar soluções estritamente necessárias em uma conjuntura específica e que possuirão um tempo de vida sabidamente curto. E, ao mesmo tempo, ter de realizar a adesão a tecnologias abertas e não amarradas e nenhum fornecedor (nenhum mesmo!), e que atendam novos requisitos de segurança e arquitetura com vistas ao longo prazo e em um ritmo turbulento que é típico da disrupção.

E parece de fato paradoxal porque a própria situação é carregada desses antagonismos e impasses. Mas uma harmonização desses opostos vem sendo obtida, como já adiantei acima, via a intermediação de gateways (usados para o desacoplamento de critérios de acesso) e brokers (tocados pelo consumo de segredos e credenciais).

É nessa instância relativamente independente e isolada que se dá a padronização de protocolos de acesso. A ela se associa o uso de padrões de otimização como o SCIM (System for Cross-domain Identity Management), que são aplicados, não apenas para credenciais, mas para amplo uso de segredos de segurança. E tudo isto ainda contando com mecanismos de interação desse aparato com os novos sistemas analíticos de identidades, análise de comportamento agregados a automação – robotic automation.

Esse crescente consenso da indústria, a favor da camada específica para a gestão de privilégio, representa, a meu ver, um ponto de inflexão que nos levará rapidamente a uma situação de controle de privilégio muito melhor do que a que tínhamos até alguns meses atrás. Servirá de roadmap de adoção e entendimento dos benefícios de uma segurança embarcada e aberta.

É possível afirmar, de fato, que nenhuma solução comercialmente disponível até bem pouco tempo seria capaz de prevenir com eficiência este tipo de brecha, lembrando que o roubo de senha esteve na raiz de incidentes gravíssimos e tidos como já “clássicos” da história digital, como os recentes exemplos de violações envolvendo empresas como JPMorgan, HomeDepot, Sony, Target, Yahoo, e de casos envolvendo grandes bancos brasileiros.