O que o ataque virtual contra a Lojas Renner (LREN3) ensina sobre ser realmente uma empresa tech

Nesta semana, como se não bastasse a crise política tupiniquim, o investidor brasileiro foi agraciado com a notícia de um ataque hacker nos servidores das Lojas Renner (LREN3).

O episódio ocorrido com essa ação popular entre investidores institucionais acende a luz sobre uma conversa oportuna a respeito de infraestrutura tecnológica.

O ataque foi do tipo “ransomware”, em que hackers inviabilizam o uso dos sistemas da empresa em troca de um resgate financeiro para liberá-los.

No caso da Renner, os programadores invadiram as bases de dados da empresa, criptografaram as informações hospedadas neles e pediram um valor em bitcoin como passe para a liberação. As lojas físicas continuam operando por sistemas de pagamento que estavam de “back-up”, mas o e-commerce ficou inutilizável.

Como é a estrutura mais 'tradicional'

A infraestrutura de dados legada, das empresas mais antigas, é baseada em alguns pilares:

• servidores próprios (armazenados fisicamente pela própria empresa);
• interdependência entre as funcionalidades, de forma que a empresa não consegue desligar uma função sem derrubar todas as outras;
• e pouca preocupação com cyber security.

Isso funcionava quando as capacidades de tecnologia eram restritas aos sistemas de controle interno, como os de gestão de estoque ou vendas.

Entretanto, com o comércio migrando para o digital, o que implica milhares (ou milhões) de acessos simultâneos a informações de produtos, estoques e preços, essa arquitetura prejudica o andamento dos negócios – quando não inviabiliza.

Explico o porquê.

Com servidores próprios, quando a empresa precisa de memória adicional para armazenamento de dados, ela precisa passar por um processo lento de aumento de capacidade horizontal. Isso porque precisa 

1. comprar ou alugar máquinas adicionais de armazenamento (os servidores); 
2. achar espaço físico na empresa para alojá-las em condições adequadas; e 
3. arcar com o tempo e o custo de instalação.

Além disso, precisa cuidar da garantia de condições adequadas para preservação dessas máquinas, que precisam estar em ambientes resfriados.

Por fim, toda a segurança de dados fica a cargo da própria empresa – que nem sempre tem expertise em tecnologia da informação. Nada mais natural, afinal, cada empresa tem um negócio principal que domina. No caso da Renner, esse negócio é o varejo de vestuário.

A nuvem

Em contraste, a opção por sistemas modernos de TI geralmente envolve a utilização de um outro tipo de armazenamento de dados: a nuvem.

Que, na verdade, também consiste em um conjunto de servidores alojados em um local físico, mas que é provido por um terceiro que cuida de toda a infraestrutura e da segurança – no caso, terceiros que têm a TI como negócio principal.

Estamos falando de empresas como Amazon (com seu Amazon Web Services, ou AWS); Google (Google Cloud Platform, ou GCP); e Microsoft (com sua nuvem Azure), apenas para citar alguns. 

São empresas que estão na vanguarda da tecnologia de armazenamento de dados e que inovam constantemente na busca de 

1. mais armazenamento em menos espaço; 
2. mais dados por menos custo; e 
3. segurança das informações.

As instalações que elas têm são impressionantes, como se pode ver no caso do GCP, abaixo.

A beleza dessa estratégia de terceirização, além do óbvio benefício de economia de custos, é que, se a empresa precisar de mais armazenamento, o aumento de capacidade é feito automaticamente (na chamado autoescalagem de armazenamento).

Daí, a empresa paga por armazenamento e processamento de dados à medida que eles são utilizados. O que era, até então, um custo fixo para a empresa, torna-se um gasto que varia com o fluxo de informações demandado.

E, ainda, permite que a companhia ganhe velocidade na oferta de produtos adicionais e, em última instância, no crescimento da sua receita.

Sem falar no benefício intangível (mas muito importante) de liberar recursos e foco para que a empresa se concentre no seu negócio principal – muitas das soluções de nuvem são autogerenciadas.

Não diria que a Renner estaria isenta de ataques caso tivesse seus sistemas em nuvem, mas a vulnerabilidade seria bem menor. 

Falando de uma camada adicional de modernização, podemos dizer que uma arquitetura de TI baseada em microsserviços reduz o impacto de ataques desse tipo (não sabemos se esse é o caso de Renner).

Isso porque, quando as funcionalidades são construídas em um único bloco – por simplificação, como se todas as funcionalidades fossem programadas em um software único, ou um só programa – você só consegue inutilizar alguma quando desliga todas ao mesmo tempo.

Portanto, se o hacker invade o servidor da empresa, como foi o caso de Renner, ele consegue inutilizar tudo de uma vez. É como se essa arquitetura fosse um monolito indivisível, que, quando quebrado, explode por completo.

Como funciona isso?

Arquiteturas de TI modernas constroem suas funcionalidades sob a forma de microsserviços.

Para facilitar a compreensão do leitor, dou um exemplo simplificado: é como se a visualização dos produtos do estoque no e-commerce fosse um programa separado do sistema de consulta dos seus preços, que é separado do armazenamento dos dados dos usuários, que por sua vez é separado do programa que calcula as informações de envio – que, por último, roda independente do processamento da compra em si.

Assim, se algo estiver funcionando mal ou for atacado, a empresa desliga somente aquela parte, mantendo o resto em pleno funcionamento. Simplifica o processo de manutenção das várias funcionalidades digitais e minimiza o dano em caso de catástrofes.

Por último, vale dizer que a migração para a nuvem ou para a arquitetura de microsserviços não tira a importância de um time robusto de cyber security.

Mesmo que os dados estejam razoavelmente protegidos na AWS ou no GCP, ou mesmo que a empresa minimize o impacto de ataques por meio dos microsserviços; ainda há um fluxo de dados que ocorre fora da nuvem – por exemplo, entre áreas da mesma empresa, entre empresa e cliente ou empresa e fornecedores (que nem sempre têm seus TIs robustos).

Então, a companhia pode optar por fazer sua própria criptografia de dados, evitando que um hacker invada seus sistemas e faça isso contra ela.

Não estou dizendo que a substituição da arquitetura legada é simples ou fácil. Envolve não só a mudança de (quase todos) os processos de tecnologia da empresa, como também uma inescapável evolução de mentalidade por parte da alta gestão.

Porque, quando a mudança é tão profunda, ela demanda um processo decisório que vem de cima para baixo, com mudança na alocação dos recursos de toda a empresa.

Além disso, pode ter que envolver trocas de time relevantes, para trazer as habilidades necessárias para desenvolver as aplicações em nuvem.

Magalu novamente é exemplo

Todavia, não é impossível. Veja o caso de Magazine Luiza, que optou pelo (árduo) caminho de transformação digital por volta de 2015 e hoje colhe os frutos por meio de um e-commerce de primeira linha – e de acionistas felizes, vide a valorização superior a 2.500% do papel nesse período (gráfico abaixo).

Como você pode ver no gráfico, a jornada é longa. Foram 3 anos até a cotação do papel começar a reagir, após vários trimestres consecutivos de margens pressionadas pelas contratações de desenvolvedores de software (lembra dos microsserviços?), investimentos em treinamento e pesquisa.

Quando a chave virou, de repente uma varejista “old school” se tornou tech. Além dos benefícios operacionais e financeiros para a companhia, o investidor ainda ganhou com o benefício da narrativa “tech”, com toda a expectativa de crescimento que o preço do papel começou a embutir (e entregar).

Por ser tão difícil, não muitas empresas replicaram este feito. Transformação digital bem-feita é ouro. Hoje, enxergo a oportunidade de capturar movimento similar (embora sua magnitude seja sempre imprevisível) em empresas que estão começando o caminho de transformação.

A transformação da Raia Drogasil

Dando nome aos bois, estou pensando em Raia Drogasil (RADL3). Uma varejista de produtos de saúde que, há alguns trimestres, desenhou seu plano de transformação digital.

A visão estratégica envolve posicionar a RD como plataforma que trabalha a serviço da saúde do brasileiro, seja por meio da “nova farmácia”, que faz a venda física ou virtualmente, ou por meio da sua plataforma de serviços de saúde, que conecta prestadores de cuidados primários ao cliente final. 

Esse roadmap envolve o rearranjo das equipes de TI na forma de “squads”, ou equipes, que cuidam de um produto ou serviço específico, a troca de lideranças e a adaptação da infraestrutura legada.

Como o leitor provavelmente já desconfia, isso envolve a perda de margem no curto prazo, na busca por um objetivo maior no longo prazo. Essa é uma tese da qual gosto muito, tanto que RADL3 é um dos nomes presentes na carteira Oportunidades ESG.

Em terra de sistema legado, quem fez a transformação digital é rei. E sigo aqui buscando as realezas do futuro.