1 - Banco Santander

O banco Santander Banespa consolidou-se como o quarto banco privado por volume de ativos e primeiro entre os bancos internacionais. Fechou o ano de 2005 com uma base de clientes que ultrapassa os 6,7 milhões e conta com 1.897 pontos de venda e 7.119 caixas eletrônicos.

Criado em 1982, o Banco começou, em 1997, a aumentar a atuação no Brasil com a aquisição do Banco Geral do Comércio S.A. Nos anos seguintes, foram mais três aquisições. Em 1998, comprou o Banco Noroeste S.A., em janeiro de 2000, foi anunciada a aquisição do Conglomerado Financeiro Meridional - formado pelos bancos Meridional e Bozano, Simonsen. E, em novembro do mesmo ano, o Santander comprou o controle do Banco do Estado de São Paulo S.A. - BANESPA.

O conglomerado financeiro Santander Banespa foi formado em 2001, após a reestruturação societária realizada no primeiro semestre daquele ano, envolvendo as operações contábeis para a transferência das ações do Banco do Estado de São Paulo S.A. - Banespa, naquela época de propriedade do Banco Santander Central Hispano, S.A., para o Banco Santander S.A.

Após todas essas aquisições, o conglomerado precisou uniformizar a gestão de dados dos clientes e melhorar o processo de avaliação de crédito dos clientes.

Em novembro de 2005, o banco contratou uma empresa Fair Isaacs, que unificou o cadastro de clientes do conglomerado e implementou uma ferramenta de apoio à decisão chamada de StrategyWare para a avaliação de crédito de clientes.

O sistema utiliza um modelo baseado em pontuação e em árvores de decisão para permitir o crédito ao cliente. Levou sete meses para ser implementado, e em menos de um ano já mostrava resultados expressivos. A taxa de inadimplência caiu em 40% nos créditos de curto prazo. O processo de avaliação do crédito é agora completamente automatizado, sendo que o gerente pode verificar a sua disponibilidade de forma rápida pelo próprio terminal.

O próximo passo será implementar esse sistema nos caixas eletrônicos e também no Internet Banking para que os próprios usuários possam solicitar e receber resposta instantânea pelo sistema, reduzindo os custos operacionais do banco e aumentando a satisfação do cliente.

O Banco Santander então precisou de um sistema que ajudasse a avaliar o crédito de um cliente. Para isso utilizou o chamado sistema de apoio à decisão que são sistemas que fornecem suporte computacional interativo Ad Hoc (consultas de informações únicas de um problema não programado e específico à situação) direto e imediato aos gerentes auxiliando-os durante o processo de decisão. São por exemplo, dados, tabelas, planilhas de custos, gráficos, fatos e informações de texto. Os SAD são úteis, por exemplo, quando o gerente de uma empresa deseja saber o melhor local para a implantação de uma nova filial.

2 - O processo de tomada de decisão

O administrador precisa tomar decisões quando encontrar mais de uma alternativa viável para resolver um problema. Quando temos mais de uma solução para um problema, a dificuldade será escolher a melhor decisão, aquela que trará mais benefício para a empresa e menos consequências negativas.

O grande pesquisador americano Herbert Simon, laureado em 1978, descreveu em seu livro “The New Science of Management Decision” que o processo de tomada de decisões possui três estágios: inteligência, concepção e seleção.

Entretanto, o processo de tomada de decisões nem sempre é assim linear seguindo os três passos descritos acima. Por exemplo, as informações obtidas na fase de inteligência podem ser incompletas fazendo com que o problema seja mal compreendido e, portanto, levarem a soluções ineficientes. Ou os modelos utilizados no processamento de dados não foram adequados e, após a implementação, constatou-se que solução escolhida trouxe consequências inesperadas.

3 - Sistemas de apoio à decisão – SAD

Como vimos, os sistemas de apoio à decisão são muito úteis nos estágios de concepção e seleção de soluções no processo de tomada de decisões da empresa. Esses sistemas permitem que o administrador tenha os elementos necessários para escolher uma solução dentre as várias possibilidades. Os SAD podem ajudar a empresa a melhorar a participação no mercado, aumentar a lucratividade, reduzir custos e melhorar a qualidade do produto. Os sistemas de apoio à decisão podem, a exemplo do que vimos no caso Banespa, automatizar o processo de tomada de decisões, analisando rapidamente uma grande quantidade de dados e oferecendo uma solução imediata para a demanda de clientes e funcionários.

A maioria dos SAD possui três componentes básicos: módulo de gerenciamento de dados, módulo de gerenciamento do modelo e módulo de diálogo.

Muitos SAD são completamente conectados aos outros sistemas da empresa facilitando assim a coleta de internos da empresa. Os dados devem apresentar as seguintes características principais: Idade adequada à situação de decisão em questão e Confiabilidade e relevância no processo decisório.

Os modelos são baseados em pesquisas matemáticas e na experiência. Por exemplo, poderemos predizer as vendas da organização em virtude da publicidade, aplicando um modelo fundamentado em regressão linear aplicado aos dados históricos da organização. Para isso, seria aplicada a técnica de regressão linear aos dados obtidos nos anos anteriores de forma a obter a equação que descreve a relação publicidade x vendas da empresa.

Aplicando o modelo de regressão linear aos dados históricos, obteve-se, no exemplo acima, que a relação entre publicidade (variável X do gráfico) e vendas (variável Y do gráfico) é dada pela equação Y=3,3484X+4,5817, o administrador poderia estimar quanto seria vendido caso a empresa resolvesse investir 10 milhões em publicidade, o que daria uma venda estimada de Y=3,3484x10.000.000+4,5817, ou seja, R$33.484.004,58. É interessante lembrarmos que simulações simples como essa que foi mostrada podem ser realizadas por meio de planilhas eletrônicas, como o Microsoft Excel.

Com ênfase na tomada de decisão em grupo, surgiram os Sistemas de Apoio à Decisão em Grupo (SADG), que possibilitam o trabalho conjunto de profissionais, cada um em seu computador. A eficácia desse tipo de sistema depende muito da forma como o evento é planejado e conduzido.

4 - Quando desenvolver um SAD para a empresa?

Um SAD é um investimento que possui um custo que pode ir de milhares a milhões de reais para a empresa. A empresa pode adquirir sistemas prontos ou então desenvolver sistemas específicos, caso seus problemas sejam únicos. Entretanto, quais situações justificam tal investimento? O questionário abaixo ajudará a avaliar em que um SAD poderia ser útil para a organização e em que medida a sua aquisição seria recomendável.

Resumo

Vimos, nesse módulo, que o processo de tomada de decisões é muito importante para o sucesso das organizações, sendo uma das principais atividades do administrador.

O processo de tomada de decisões é composto de três fases: inteligência, concepção e seleção. A fase de inteligência consiste na coleta de dados sobre o problema e sobre as suas possíveis soluções. O administrador poderia se servir de SIG para coletar os dados. A fase de concepção busca identificar as soluções viáveis para o problema e por meio do processamento dos dados coletados, reduzir o número de soluções. Na fase de seleção as soluções viáveis são analisadas com bastante profundidade de forma a identificar quais os seus efeitos e resultados que seriam obtidos com a adoção de cada solução. Essa análise será a base da seleção da solução a ser implementada pelo administrador. As duas últimas fases da decisão poderão ser beneficiadas com o uso de SAD.

Existem basicamente três tipos de problema: problemas estruturados, problemas não estruturados e problemas semiestruturados. O problema é dito estruturado quando pode ser resolvido por meio de passos (algoritmo). Os problemas não estruturados e problemas semiestruturados não podem ser resolvidos por meio de algoritmos, exigindo análises mais complexas, exigindo bom senso e perspicácia por parte do administrador para a sua resolução.

Devido ao fato de os custos de aquisição e desenvolvimento de SAD serem caros, o administrador deverá avaliar bem a sua necessidade. Para isso o administrador deverá responder as seguintes questões: Qual o tipo de problema deve ser resolvido? O quanto ele é estruturado? Quais são os dados que estão disponíveis no banco de dados? Quantos funcionários vão usar o sistema? Os funcionários poderão ajudar no desenvolvimento do sistema cedendo tempo e dedicação do trabalho? Pois o envolvimento dos funcionários no desenvolvimento do sistema é essencial.

1 - Uma história de sucesso

A Internet teve um enorme desenvolvimento nos últimos anos. A integração de novas tecnologias de comunicação com softwares revolucionou a forma das pessoas e empresas se comunicarem e fazerem negócios. Você agora pode fazer compras sem sair de casa em lojas que se encontram em outro país. Agora as empresas não estão competindo apenas com seus concorrentes locais, mas com todas as empresas interconectadas na WEB. Por isso a importância de o administrador conhecer o funcionamento e as aplicações disponíveis na Internet para que suas empresas participem dessa revolução e marquem presença no mundo virtual.

No final dos anos 90, o modelo das “Lojas Americanas” era visto com pessimismo pelos especialistas que acreditavam que o avanço dos hipermercados acabaria ameaçando a sua sobrevivência. Devemos nos lembrar que empresas tradicionais como a Mesbla e o Mappin haviam fechado as suas portas. Em 1999 a Lojas Americanas decidiu entrar no mundo virtual e criou a Americanas.com junto com um grupo de investidores do mercado financeiro: Chase Capital Partners, Flatiron Partners, AIG Capital Partners, Next Internacional, Mercosul Internet e Global Bridge Ventures. As Lojas Americanas é acionista majoritária, embora a Americanas.com seja completamente independente e possua seu próprio conselho de administração e diretoria. O objetivo original da Americanas.com era alavancar os ativos e a marca Lojas Americanas.

A Americanas.com fechou o ano de 1999, após dois meses de operação, com um total de vendas de R$56 mil reais e mil clientes cadastrados. No ano de 2000, o lucro bruto foi de R$2,9 milhões, ou 15% da venda líquida, entretanto, o resultado operacional acumulado foi negativo em R$45,4 milhões. Ao final do ano de 2000, a loja possuía 175 mil clientes cadastrados e um mix diversificado de produtos com aproximadamente 25 mil unidades de produtos em estoque. Em julho de 2000, a empresa também decidiu criar quioques-internet dentro das próprias lojas físicas para melhorar o acesso de clientes que não tinham acesso à internet. Ao final de 2000, as vendas nos quiosques internet representavam 10% do total de vendas da loja virtual, sendo que o sistema de televendas representava 21%.

Em 2003, a receita bruta ficou em R$274 milhões e com lucro de R$115,9 milhões. Em 2004, a loja virtual faturou R$434 milhões e obteve um lucro de R$64,1 milhões, uma queda de mais de 40% em relação ao ano anterior. No ano de 2005, a empresa faturou R$864,8 milhões, com um lucro líquido superior a R$100 milhões. Um resultado muito expressivo, pois devemos considerar que o patrimônio líquido da empresa está avaliado em R$150 milhões. Atualmente a Americanas.com possui um fluxo de 3 milhões de usuários ao mês.

O caso de sucesso das Lojas Americanas não é um fenômeno isolado. Para se ter ideia do potencial da internet nos negócios, basta analisarmos o avanço do comércio eletrônico nos últimos cinco anos. Neste período, o faturamento do comércio eletrônico nacional aumentou cerca de 400%; o valor médio das compras cresceu 63% no período; o volume de vendas aumentou 254% e o número de consumidores aumentou de 700 mil adeptos em 2001 para 3,25 milhões em 2005 (dados da e-bit - www.e-bit.com.br). Portanto, vale a pena conhecermos como funciona a internet para aproveitarmos desse mercado em expansão.

2 - Como funciona a Internet

Internet é uma gigantesca rede mundial de computadores, que inclui supercomputadores, servidores, computadores pessoais atuais com processadores Intel Pentium IV e AMD Athlon 64, há microcomputadores antigos ainda em uso como PC 386 ou 486.

Esses equipamentos são interligados por linhas comuns de telefone, linhas de comunicação privadas, cabos submarinos, canais de satélite e diversos outros meios de telecomunicação. Os computadores que compõem a Internet podem estar localizados, por exemplo, em empresas, universidades, cooperativas, prefeituras e nas próprias residências.

Fazendo paralelo com a estrutura de estradas de rodagem, a Internet funciona como uma rodovia pela qual a informação contida em texto, som e imagem pode trafegar em alta velocidade entre qualquer computador conectado a essa rede. É por essa razão que a Internet é muitas vezes chamada de "super rodovia da informação".

A Internet é considerada por muitos como um dos mais importantes e revolucionários desenvolvimentos da história da humanidade. Pela primeira vez no mundo, um cidadão comum ou uma pequena empresa pode (facilmente e a um custo muito baixo) não só ter acesso a informações localizadas nos mais distantes pontos do globo como também - e é isso que torna a coisa revolucionária - criar, gerenciar e distribuir informações em larga escala, no âmbito mundial, algo que somente uma grande organização poderia fazer usando os meios de comunicação convencionais.

Todo computador na Internet possui um número de identificação único que é o chamado de endereço IP. As aplicações e os protocolos de Internet permitem então que um computador localize e seja conectado a outro computador na internet. É isso que acontece quando você digita um endereço WEB (URL – Uniform Resource Locator) no navegador como http://www.google.com.br. A URL especifica então o protocolo utilizado para a comunicação entre o seu computador e o servidor, nesse caso http (Hypertext Transfer Protocol) e o nome de domínio www.google.com.br especifica o endereço do servidor. É um nome que serve para localizar e identificar conjuntos de computadores na Internet. O nome de domínio foi concebido com o objetivo de facilitar a memorização dos endereços de computadores na Internet. Sem ele, teríamos que memorizar uma sequência grande de números.

Mas como localizamos o endereço IP do servidor a partir do endereço URL? É simples, existem servidores específicos chamados de servidores DNS (Domain Name System) que possuem uma grande tabela que armazena a URL e o respectivo endereço IP do computador. Assim quando digitamos o endereço no navegador, o nosso computador se conecta com um servidor DNS e solicita o endereço IP associado a uma determinada URL. De posse do endereço IP, o computador poderá se conectar ao computador desejado.

Para se obter um domínio no Brasil, deve ser efetuado um registro junto ao Núcleo de Informação e Coordenação do Ponto BR - NIC .br que controla o site Registro.br. No caso de domínios internacionais, o registro deve ser feito nos respectivos órgãos.

O primeiro requisito para obter um domínio no Brasil é de que o nome não esteja registrado, reservado pelo Comitê Gestor, nem que seja uma marca notória do INPI.

Para registrar um domínio, é necessário ser uma entidade legalmente representada ou estabelecida no Brasil como pessoa jurídica ou física que possua um contato em território nacional.

As regras sintáticas que o domínio deve seguir são: Tamanho mínimo de 2 e máximo de 26 caracteres, não incluindo a categoria. Caracteres válidos (A-Z;0-9) e o hífen. Nenhum tipo de acentuação. Não pode conter somente números. O hífen vale como separador sintático interno de palavras, sendo que os domínios já registrados com ou sem o mesmo só poderão ser registrados com esta diferença pelo detentor do primeiro registro.

O nome de domínio está estruturado em níveis hierárquicos. Ele é composto de duas partes: um nome fantasia que pode ser o nome da empresa, por exemplo, seguido por um ponto e um especificador do tipo de domínio. Por exemplo, o nome de domínio google.com.br tem como nome “google” , o primeiro especificador do tipo é “.com” que é o tipo específico para sites de empresa de comércio em geral e o último especificador é “.br”, que informa que é um site brasileiro.

O nome de domínio também é chamado de domínio de primeiro nível (DPN). Cabe ao órgão Registro.Br definir e classificar os DPN do brasil (.br). Apresentamos, abaixo, uma tabela de DPN definidos para as instituições aqui no Brasil.

DPNs para Instituições (Somente para pessoas jurídicas)

AGR.BR	Empresas Agrícolas, fazendas
AM.BR	Empresas de radiodifusão sonora
ART.BR	Artes: música, pintura, folclore
EDU.BR	Entidades de ensino superior
COM.BR	Comércio em geral
COOP.BR	Cooperativas
ESP.BR	Esporte em geral
FAR.BR	Farmácias e drogarias
FM.BR	Empresas de radiodifusão sonora
G12.BR	Entidades de ensino de primeiro e segundo grau
GOV.BR	Entidades do governo federal
IMB.BR	Imobiliárias
IND.BR	Indústrias
INF.BR	Meios de informação (rádios, jornais, bibliotecas, etc.)
MIL.BR	Forças Armadas Brasileiras
NET.BR	Detentores de autorização para o serviço de Rede e Circuito Especializado da Anatel e/ou detentores de um Sistema Autônomo conectado à Internet conforme o RFC1930
ORG.BR	Entidades não governamentais sem fins lucrativos
PSI.BR	Provedores de serviço Internet
REC.BR	Atividades de entretenimento, diversão, jogos, etc.
SRV.BR	Empresas prestadoras de serviços
TMP.BR	Eventos temporários, como feiras e exposições
TUR.BR	Entidades da área de turismo
TV.BR	Empresas de radiodifusão de sons e imagens
ETC.BR	Entidades que não se enquadram nas outras categorias

A Internet é somente uma infraestrutura na qual as aplicações podem rodar. Geralmente, classifica-se a grande quantidade de informações disponíveis na Internet pela forma como a informação é organizada, pesquisada e transmitida. As aplicações mais comuns são:

3 - Internet, intranets e extranets

A internet tornou-se uma ferramenta importante para aumentar a produtividade da empresa. A empresa poderá utilizá-la para divulgar os seus produtos, receber, processar pedidos, efetuar pagamentos e realizar pesquisas.
Com a internet, as empresas perceberam que essa nova tecnologia não apenas possibilitou a divulgação de seus produtos, a sua comercialização, mas também possibilitou um acesso privilegiado ao seu cliente. O cliente poderia conhecer rapidamente informações sobre a empresa, seus produtos. De forma análoga, a empresa tem um canal direto com o cliente permitindo um maior conhecimento de seus anseios, desejos, suas opiniões sobre a empresa e sobre os seus produtos. Mas se isso funciona com os clientes externos, por que não funcionaria com os seus clientes internos? Seus funcionários? Daí surgiu a ideia das intranets.

A intranet é uma rede privada (só acessível pelos funcionários) que serve para disseminar informação de interesse dos funcionários dentro da empresa e também pode servir como ponto de acesso aos sistemas de gerenciamento e controle. Ela utiliza a mesma tecnologia da Internet podendo ser acessada da maioria das plataformas de computação, sendo fácil de utilizar visto que utiliza o próprio navegador Web.

A intranet também melhora sensivelmente o trabalho colaborativo, permitindo a troca interna de mensagens e documentos, reduzindo os custos de distribuição da informação. A tecnologia permite também que a intranet seja acessada de casa ou de qualquer outro lugar pelo funcionário, utilizando a tecnologia de redes privadas virtuais (VPN – virtual private Network). Essa tecnologia permite que se crie, por meio de técnicas de criptografia, um túnel virtual entre o computador do funcionário ligado à Internet e o computador da empresa conectado a Intranet para que as informações trafeguem de forma confiável. Esse sistema permite que funcionários em trânsito possam consultar dados disponíveis na intranet de maneira segura.

Outra rede muito utilizada hoje em dia é a chamada extranet. Essa rede liga a empresa a fornecedores, a empresas clientes ou a empresas parceiras. Esse tipo de rede é usado principalmente para melhorar a gestão da cadeia de suprimentos reduzindo o tempo do fluxo de informação do pedido, o tempo de entrega dos produtos e os custos. Além disso, as extranets também desempenham um papel importante no desenvolvimento de projetos comuns em empresas parceiras facilitando a comunicação entre os agentes envolvidos como engenheiros, projetistas, marketing e produção.

As empresas podem assim trabalhar de modo mais eficiente, reduzindo custos e lançando produtos mais rapidamente no mercado. Se os fornecedores são ligados diretamente à empresa por meio da Extranet, podem acelerar o prazo de entrega dos produtos.

É claro que para que essa sinergia entre as empresas aconteça é necessário que as empresas tenham se preparado para a integração. A empresa também deve se preparar para atender à nova forma de trabalho voltada para o atendimento da demanda do cliente. Processos de negócios devem ser reavaliados, principalmente aqueles ligados a cadeia de suprimentos. As empresas devem criar políticas de compartilhamento de informações para decidir que informações compartilhar, o formato e critérios de segurança.

4 - B2B e B2C

Existem diferentes formas de classificar as transações de comércio eletrônico. A mais conhecida é a que leva em consideração a natureza dos participantes da transação que podem ser essencialmente de dois tipos: de empresa para empresa e de empresa para consumidor.

No comércio eletrônico de empresa para empresa, também chamado de B2B (business to business), a venda é de bens e serviços entre empresas. Estima-se que o volume de transações entre empresas na internet seja superior a dez vezes o volume de transações entre empresas e consumidores finais.

As transações comerciais entre empresas concentram-se em duas modalidades: a troca de informações, que se refere a preços, contratos, envio de documentos eletrônicos, e pagamentos.

A modalidade de transação são os mercados e os leilões virtuais. No caso dos e-marketplaces, as empresas se cadastram em sites especializados que permitem aos seus associados disponibilizarem os seus produtos e comprarem produtos de outras empresas associadas. Nesse caso, as empresas interessadas podem negociar diretamente o preço dos produtos.

Nos leilões, a oferta é pública e é a empresa que pagar mais ou a que cobrar menos que ganhará a concorrência. Atualmente o governo está incentivando a aplicação de pregões eletrônicos, principalmente em compras de baixo valor de forma a reduzir o custo da licitação e aumentar a transparência para a sociedade. Aliás, o pregão eletrônico acabou impulsionando o mercado de pequenas e médias empresas que no sistema de licitação tradicional, acabavam ficando de fora, devido aos complexos e caros trâmites burocráticos.

No comércio eletrônico de empresa para consumidor, chamado de B2C (business to consumers), a venda de bens e serviços é realizada no varejo diretamente ao consumidor final. Essa modalidade só tende a aumentar na medida em que o acesso à Internet for sendo ampliado.

Uma vez conectado, o internauta pode acessar a milhares de lojas virtuais, comparar preços, se informar sobre o produto e concretizar a sua compra, e isso tudo sem sair de dentro de casa. Existem inclusive sites especializados em comparação de preços (www.bondfaro.com.br) que aceleram ainda mais o processo de comparação de preços e a decisão do usuário.

No intuito de fidelizar o cliente, as empresas também têm investido bastante em tecnologias de personalização, que permitem a customização da navegação e/ou de itens do site específicos para o cliente. Um exemplo é o site Submarino, que, uma vez cadastrado no site, a cada novo acesso, você recebe a mensagem de boas-vindas. O site da Amazon registra as suas últimas compras e sugere produtos similares. Outra forma de conquistar clientes é a chamada lista de desejos que permite que você selecione produtos que você gostaria de adquirir. No site Yahoo, o usuário pode escolher a interface que deseja no site e disponibiliza o tipo de informação que ele tem interesse.

Vemos então que a tecnologia está tornando o comércio eletrônico cada vez mais simples, fácil e atrativo para os clientes, trazendo conveniência, poupando tempo e dinheiro, visto que o cliente pode comparar os preços em diferentes lojas para tomar decisão de compra. Entretanto, um fator que ainda afasta uma parcela dos consumidores do comércio eletrônico é o sistema de pagamento.

O pagamento por meio eletrônico (cartão de crédito ou débito) é considerado seguro, mas alguns consumidores ainda desistem de comprar quando o único meio de pagamento é o cartão. Para driblar essa relutância, as empresas tiveram que se adaptar e hoje todas as grandes empresas possibilitam o pagamento de compras utilizando outros meios de pagamento, como boletos bancários, depósitos em conta ou mesmo via televendas.

Alguns autores costumam incluir mais um tipo, o chamado consumidor para consumidor (C2C – consumer to consumer), que seria o caso dos leilões como o mercadolivre, entretanto, podemos verificar que existem sempre empresas intermediando a transição, logo essencialmente consiste de uma transação de empresa para consumidor (B2C).

5 - Web Databases

Quando você procura um produto na Internet, não é suficiente acessar a página principal da loja, você quer saber detalhes sobre o produto, saber preço, disponibilidade e pesquisar outras informações. Se você está com dúvidas sobre a utilização de um produto, você acessa o site do fabricante e procura catálogos, ou então consulta a FAQ, ou mesmo procura fóruns de usuários que tiveram o mesmo problema.

Em todos esses casos, está acessando bancos de dados. Assim, se você quer que sua empresa disponibilize informações que ajudem os seus clientes a conhecerem melhor os seus produtos, obterem informações que o ajudem a optar por seus produtos, que melhorem a comunicação entre a empresa e o cliente, então a empresa deve conectar o seu sistema de banco de dados da empresa à Internet. Isso permite que os clientes tenham acesso ao banco de dados por meio do Browser do PC. Os usos mais comuns para os bancos de dados na Web são:

• Disponibilização de catálogos online: utilizado para a apresentação de produtos, normalmente permitindo que o cliente realize buscas por palavras-chave e código de itens. • Lista de Contatos: lista de nomes, telefones e e-mails importantes. • Cadastro de clientes: esse cadastro implementado por meio de formulários disponíveis no site permite que a empresa conheça melhor os seus clientes e pode servir para o envio de mensagens eletrônicas de interesse do cliente: novidades, atualizações, etc. • Rastreamento de encomendas: uma ferramenta importante pós-venda que permite que o usuário consulte a tramitação da sua encomenda até a sua recepção. Por exemplo, o cliente poderá saber se a controladora do cartão já liberou a compra, se o produto já foi enviado, pontos de verificação ou parada antes da chegada e a data provável de entrega. • Transações financeiras: em todas as transações bancárias, é necessário acessar o registro do cliente.

O grande benefício das bases de dados estabelecidos na Web é que permitem que o cliente acesse os bancos de dados por meio de navegadores, como o Internet Explorer ou Firefox. Entretanto, para que isso seja possível, é necessário que seja criada uma interface entre o navegador e a base de dados que permita a interatividade entre a página Web vista pelo usuário e a aplicação SGDB, que está no servidor.

As páginas Web que utilizam apenas HTML ou XHTML não permitem tal interatividade, por isso deve ser criada uma interface entre o navegador e o SGDB. As interfaces mais comuns utilizam: scripts CGI (Common Gateway Interface), java server pages (JSP), java servlets ou ASP (Active Servers Pages). Um exemplo de funcionamento utilizando o CGI para o acesso a um banco de dados é mostrado na figura a seguir.

O CGI especifica como os dados vindos do cliente WEB serão passados ao programa (script CGI) e como este programa deve retornar o resultado ao servidor WEB. Quando o usuário terminar de preencher um formulário na Web, o navegador acessará uma página com um script CGI. O servidor executa o script CGI (um programa) que verifica os valores inseridos no formulário e o CGI faz as solicitações em linguagem DML (data manipulation language) ao SGDB. Os dados solicitados ao SGDB são recuperados pelo CGI, que formata os resultados em formato HTML para serem apresentados no navegador.

Resumo

A Internet teve um enorme desenvolvimento nos últimos anos. A integração de novas tecnologias de comunicação com softwares revolucionou a forma de as pessoas e empresas se comunicarem e fazerem negócios. Por isso a importância de o administrador conhecer o funcionamento e as aplicações disponíveis na Internet para que suas empresas participem dessa revolução e marquem presença no mundo virtual.

Internet é uma gigantesca rede mundial de computadores interligados por linhas comuns de telefone, linhas de comunicação privadas, cabos submarinos, canais de satélite e diversos outros meios de telecomunicação. Todo computador na Internet possui um número de identificação único que é o chamado de endereço IP. As aplicações e os protocolos de Internet permitem então que um computador localize e seja conectado a outro computador na internet. As aplicações mais comuns são: navegação Web, envio e recebimento de e-mails (Correio eletrônico), transferência de arquivos, troca de Mensagens instantâneas e telefonia Internet (VoIP).

Além da internet, as empresas têm utilizado outras duas redes: as intranets e as extranets. A intranet é uma rede privada (só acessível pelos funcionários), que serve para disseminar informação de interesse dos funcionários dentro da empresa e também pode servir como ponto de acesso aos sistemas de gerenciamento e controle. A chamada extranet é uma rede que liga a empresa a fornecedores, a empresas clientes ou a empresas parceiras.

A internet impulsionou o comércio eletrônico que, geralmente, é classificado segundo a natureza dos participantes da transação, que podem ser essencialmente de dois tipos: de empresa para empresa (B2B - business to business) e de empresa para consumidor (B2C - business to consumers). Mas, para que esse comércio eletrônico seja possível, é preciso conectar as bases de dados das empresas à Internet, que é o conceito de Web Databases. O grande benefício das bases de dados baseadas na Web é que se permite que o cliente acesse os bancos de dados por meio de navegadores, como a Internet Explorer ou Firefox. Por fim, foram discutidas as questões legais ligadas ao comércio eletrônico. Ressaltando que ainda não existem leis específicas para o comércio eletrônico no Brasil, e os organismos ainda estão se adaptando a essa nova modalidade de comércio.

1 - A importância da segurança

“A segurança é um processo. Pode-se aplicar o processo seguidamente à rede e à empresa que a mantém e, dessa maneira, melhorar a segurança dos sistemas. Se não se iniciar ou interromper a aplicação do processo, sua segurança será cada vez pior, à medida que surgirem novas ameaças e técnicas.”
Wadlow (2000).

As empresas possuem variados sistemas de informações que executam funções vitais para seu processo administrativo. Esses sistemas operam nas áreas de contabilidade, financeira, de controle de material, de produção, de recursos humanos, de faturamento, de atendimento ao cliente, entre outras, exercendo atividades em praticamente todos os setores. Assim, a empresa mantém uma relação de dependência grande com os serviços prestados por seus sistemas de informação.

As informações processadas e armazenadas constituem um bem precioso da organização, pois além de servirem ao funcionamento e à gestão da empresa, dizem respeito a aspectos confidenciais de clientes e da própria empresa. Por isso é tão importante a proteção dessas informações contra eventuais danos ou para evitar o acesso por pessoas alheias aos interesses da empresa.

Como dar segurança aos Sistemas de Informação?
- Para garantir a segurança das informações, são necessários controles de segurança lógica, por intermédio de senhas, e controles de segurança física, que restringem o acesso aos equipamentos de processamento de dados apenas para pessoas autorizadas.

Muitas empresas desprezam a questão da segurança, porque:

Acreditam que os sistemas são invulneráveis ("um sistema com esse custo é imune a problemas"). Acham que problemas de acesso não autorizado ou desastres nunca atingirão sua organização ("isso nunca vai acontecer na minha empresa"). Desconhecem os transtornos causados por falta de segurança. Imaginam que investir em segurança custa muito caro.

É necessário um planejamento consistente para proteger o sistema contra possíveis invasões e contra problemas provenientes do tempo, como desastres naturais. Deve-se investir em prevenção para controlar também riscos oriundos do desenvolvimento tecnológico.

Será que é tão grave perder informações?
- É preciso, antes de tudo, que a empresa tenha consciência da importância dos procedimentos de segurança, e do transtorno que a perda das informações* traz à empresa. É preciso refletir sobre as seguintes questões:

O que se quer proteger? Contra o quê ou quem? Quais as ameaças prováveis? Qual a importância de cada recurso? Qual o grau de proteção desejado? Quanto tempo, recursos financeiros e humanos se pretende gastar para atingir os objetivos de segurança? Quais as expectativas dos usuários e clientes em relação à segurança de informações? Quais serão as consequências para a instituição, se suas informações forem corrompidas ou roubadas?

World Trade Center - Após luto, desafio será a recuperação dos dados

O Vale do Silício foi particularmente atingido pelo ataque da terça-feira, 11 de setembro de 2001, não apenas porque muitas empresas tinham escritórios em Nova York e nas torres do World Trade Center (WTC), mas também porque contavam com empresas da Wall Street e arredores entre seus clientes. Para dificultar a situação, nas torres estavam localizados os sistemas chamados de back-office e suporte, que são essenciais para a operação de Wall Street. "Esse poderá ser o evento mais desafiador da história dos negócios nos Estados Unidos", disse William Malik, especialista em segurança de informações na Gartner Group. Todas as empresas, disse ele, têm seus planos de emergência para salvar dados e sistemas em caso de incêndios ou terremotos. E boa parte desses dados e sistemas, acredita ele, devem estar salvos. O problema principal seria a perda de vidas - a perda de funcionários que sabiam tudo sobre esses sistemas e dados. Outro analista, Howard Rubin, vice-presidente executivo do Meta Group, não concorda. Ele pondera que ninguém se prepara para um desastre dessas proporções. "Ninguém se planeja para a eventualidade do desaparecimento total do prédio onde o sistema está instalado", disse.

Em desastres anteriores - no atentado ao WTC em 1993, por exemplo -, uma média de 40 empresas transferiu o núcleo de suas operações eletrônicas para centros de recuperação de desastres.

O Meta Group ligou para alguns desses centros no final da tarde de terça-feira e constatou que o número de transferências havia triplicado. Segundo John Jackson, presidente da Comdisco (uma empresa que oferece tais centros de recuperação), a maioria das companhias que o procurou é formada por bancos, seguradoras e outras empresas de serviços financeiros.

A imensa tarefa a que se defrontam agora as empresas do Vale do Silício é o suporte a clientes que precisam recuperar sistemas e dados perdidos no desastre. Não há estimativa, ainda, dos danos causados nessa área fundamental para a economia americana. E, nas empresas, ninguém ainda está preparado para falar do assunto: estão todas concentradas em localizar o paradeiro de funcionários que trabalhavam em Nova York ou estavam em visita de negócios à cidade.
"Não podemos e não devemos fechar nossas portas", escreveu Larry Ellison, o presidente da Oracle, maior fabricante mundial de bases de dados, em e-mail aos funcionários na terça-feira. Ellison lembrou a todos que "agora é mais importante do que nunca prover serviços críticos a todas as instituições que compõem a infraestrutura essencial do país". A Oracle perdeu "alguns" funcionários, um deles como passageiro de um dos aviões sequestrados.

A Sun Microsystems, fabricante de estações de trabalho e servidores de alta performance, demorou a localizar todos os seus 340 funcionários. Todos eles ocupavam dois andares - o 25º e o 26º - da torre Sul do World Trade Center (WTC). Nenhum deles morreu. Mas Phil Rosenzweig, diretor da Sun Software e funcionário desde 1991, estava no voo 11 da American Airlines, um dos seqüestrados, e morreu.

A empresa manteve as portas abertas mesmo na terça-feira, operando principalmente os serviços de suporte a sistemas do tipo missão crítica, "que são agora mais importantes do que nunca". A porta-voz Jo Chun não quis informar quais clientes da Sun precisaram de um suporte de urgência naquele momento.

Na Cisco Systems, maior fabricante de equipamentos para redes de computadores, também demorou o trabalho de localização de funcionários que estivessem viajando ou em Nova York por ocasião dos atentados. O maior fabricante de chips para computador, a Intel, também baseada no Vale, não temeu a perda de funcionário, mas redobrou a segurança em 30 instalações ao redor do mundo, inclusive três em Israel, onde a empresa tem um total de 5 mil funcionários.

O CEO Craig Barrett, que tem uma intensa agenda de viagens, por sorte, estava na sede, em Santa Clara, no Vale do Silício, por ocasião dos atentados.

Já a Hewlett-Packard tinha a maior parte de seus executivos cruzando o país de leste a oeste para explicar a investidores a decisão de comprar a Compaq. A principal executiva, Carly Fiorina, estava em Palo Alto, onde a empresa tem sede mundial, e todos os demais executivos ficaram bem. "A segurança das instalações da HP em todo o mundo está no mais alto nível de alerta", explicou o porta-voz Dave Berman, sem dar mais detalhes.

As respostas para essas perguntas delineiam uma política de segurança adequada à situação da empresa, com suas expectativas. A informação é um ativo que precisa ser protegido adequadamente. O objetivo da segurança é evitar qualquer ameaça à informação, garantindo a continuidade dos negócios, minimizando as consequências dos danos nos sistemas de informação e maximizando o retorno dos investimentos.

Conjunto de valores representado pelas aplicações de patrimônio e de capital de uma empresa ou pessoa (Dicionário Hoauiss da Língua Portuguesa, 2001)

Uma política de segurança consiste em uma série de decisões que determinarão a postura de uma organização em relação à segurança. Esse conjunto de ações, que visa a prover segurança, deve determinar os limites de tolerância e os níveis de controle para violações que possam eventualmente ocorrer.

A segurança da informação tem como finalidade a preservação da informação no que se refere a:

•Confidencialidade: acesso à informação somente por pessoas autorizadas. • Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento. • Disponibilidade: garantia de que os usuários autorizados tenham acesso à informação sempre que necessário.

É importante saber que a segurança deve fazer parte da cultura da empresa e de seus procedimentos de rotina. Só uma ação de todos os funcionários, dos diversos níveis hierárquicos, pode assegurar a integridade das informações da empresa.

2 - Ameaças à segurança

Quais são as principais ameaças ao SI?

Os principais problemas relacionados à segurança nos sistemas de informações organizacionais decorrem de erros humanos, falta de procedimentos de segurança e má configuração dos sistemas.

Gil (1994) definiu a natureza das agressões que os recursos de informática podem sofrer:

Os principais problemas em relação à falta de segurança lógica em sistemas de informação são:

• Centralização física dos dados - tanto os dados quanto os backups ficam no mesmo local físico, o que concentra o risco. • Fraco treinamento dos profissionais de informática e dos usuários com a tecnologia de segurança, inclusive com barreiras culturais (‘isso nunca vai acontecer comigo!’). • Dificuldades na repreensão por ações erradas, dolosas e inadequadas. • Descaso com a segurança em informática, falta de determinação explícita de responsabilidades e falta de especialista na tecnologia de segurança do ambiente computacional. • Falta de um plano de contingência.

A Internet aumentou ainda mais as preocupações com segurança das informações nas organizações. Os hackers podem invadir os sistemas das empresas pela Internet, acessar informações e mudar o conteúdo dos sites.

O Plano de Contingência é um conjunto de procedimentos que orienta os membros das organizações em situações adversas, como incêndio, desastre, roubo de um equipamento importante, entre outros. Assim como agir corretamente no socorro a uma vítima de acidente é fundamental para a sua sobrevivência, agir corretamente em situações de sinistro também é fundamental para a recuperação das informações da empresa.

A Internet facilitou a ação dos hackers. As ameaças por meio da Internet podem ser:

• Perda de integridade de dados: a informação é criada, modificada ou apagada por um intruso. • Perda de privacidade de dados: a informação é acessada por pessoas não autorizadas . • Perda de serviço: um serviço é interrompido devido à ação de um hacker. • Perda de controle: os serviços são usados por pessoas autorizadas de um modo não controlado.

Algumas empresas, mesmo tendo mecanismos de segurança, são atacadas por intrusos. Como isso é possível? Os ataques podem ser feitos por meio de:

• Monitoração de comunicação entre duas partes que estejam trocando informações. • Roubo do software e/ou hardware. • Interceptação da saída eletromagnética do monitor - o intruso pode reproduzir em seu microcomputador uma operação que está sendo feita por um usuário autorizado, e assim ter acesso a dados importantes como número do cartão de crédito, senhas, entre outras. • Utilização de ‘cavalos de tróia’. • Falsificação (spoofing) de IP. • Recursos de mídia descartados pela empresa, como, por exemplo, disquetes. • Suborno do pessoal de segurança, para que facilitem a entrada do intruso.

Além das ameaças de acesso por pessoas não autorizadas, os vírus representam outro grande problema para as organizações. Mesmo com a instalação de programas antivírus, é possível ter o computador atacado, pois novos vírus cada vez mais destruidores e complexos de combater são criados diariamente.

São pequenos softwares que parecem inofensivos, mas que coletam informações do sistema ou do usuário e as enviam via Internet ou rede ao intruso ou hacker.
Talvez ainda não tenha ouvido falar sobre eles. Talvez já, mas sem dar muita importância. Mas está na hora de se tomar cuidado com esses programas. Cavalos de Tróia são programas que vêm causando danos a determinados usuários da Internet. Saiba como eles funcionam e como podemos nos manter fora da área de risco.

Atualmente, muitos recursos têm sido amplamente utilizados para invadir máquinas ligadas à Internet. A tática é simples: envia-se um programa, como por exemplo, um screensaver, que na verdade contém um outro programa que dá ao hacker acesso remoto à máquina em que o cavalo de Troia foi instalado. Esses programas são portas de acesso ao conteúdo do computador.

Independentemente do sistema operacional, os Cavalos de Troia permitem que outra pessoa tenha controle sobre a sua máquina, por meio do protocolo TCP/IP da Internet.

Testes demonstraram que o administrador remoto é capaz de acessar os dados e efetuar tarefas com mais eficiência do que o próprio usuário que está em frente à máquina.

Geralmente os Cavalos de Troia não são vírus. Eles apenas permitem que uma pessoa execute, a distância, as mesmas tarefas disponíveis para quem senta em frente do computador. Sozinhos, não causam danos aos programas. É preciso que haja alguém (um hacker) trabalhando com o sistema de forma remota.

Há diferentes tipos de vírus:

• Vírus de setor de boot: reside no setor de boot da máquina e, toda vez que o computador é inicializado, o vírus é ativado, infectando os arquivos no disco rígido. • Vírus de programa executável: trabalha infectando arquivos executáveis (por exemplo, programas e bibliotecas). • Vírus de macro: na maioria dos casos, infectam o Microsoft Word e o Excel, são aplicações muito adotadas no seu gênero.

De acordo com a complexidade do vírus, ele pode trazer diferentes danos ao usuário:

• Aborrecedor: exibe mensagens na tela, mas não causa dano real. • Pouco ofensivo: exibe mensagens em sua tela e impede a execução de programas, mas não causa nenhum dano permanente. • Prejudicial: destrói dados do programa infectado, mas todos os outros dados do microcomputador permanecem intactos. • Destrutivo: destrói todos os dados e impede o funcionamento do computador.

É preciso ter programas antivírus instalados em todos os microcomputadores e fazer a atualização periódica destes programas, para se ter mais sucesso na proteção do microcomputador.

3 - Implementando segurança de dados e informações

Como definir uma política de segurança? O ponto fundamental para o desenvolvimento de uma política de segurança é a consciência das ameaças que o sistema pode sofrer e do transtorno – muitas vezes irreversível – que podem causar.
É preciso definir políticas de segurança e torná-las conhecidas, contribuindo, assim, para a formação de uma cultura de segurança.

A segurança de dados é fundamental para fornecer às organizações:

• Confidencialidade: é necessária para controlar quem lê as informações e para impedir o acesso de pessoas não autorizadas. • Integridade: precisa assegurar que as informações e programas são alterados somente de maneira prevista e autorizada, e que os dados apresentados são genuínos e não foram alterados durante a transmissão. • Disponibilidade: precisa garantir que usuários autorizados continuem tendo acesso a informações e recursos. • Legitimidade: recursos não podem ser usados por pessoas ou de forma não autorizadas.

As preocupações com segurança podem ser divididas em três grupos: infraestrutura, recursos humanos e recursos técnicos.

Segurança é coisa séria.
A figura abaixo resume o que é preciso fazer para implementar segurança das informações na empresa.

Uma maneira muito usada de dificultar a leitura de informações por intrusos é a criptografia. Foi criada durante a segunda guerra mundial, quando os exércitos usavam estórias e senhas para impedir a decifração de mensagens por inimigos que as conseguissem interceptar.

4 - Política de segurança

Temos de buscar prever tudo o que pode acontecer...

Política de segurança consiste em uma série de decisões que determinam a postura de uma organização em relação à segurança.

Esse conjunto de ações que se propõem a prover segurança deve determinar os limites de tolerância e os níveis de controle para violações que possam eventualmente ocorrer (SUAVÉ et alii, 1999).

Uma política de segurança deve atender aos seguintes propósitos, segundo Wadlow (2000):

• Definir o que está sendo protegido, e por quê. • Definir prioridades de proteção e custos. • Fornecer ao departamento de segurança motivos válidos para as restrições. • Conceder ao departamento de segurança a autoridade necessária para sustentar as ações de segurança. • Estabelecer um acordo explícito com as várias partes da empresa em relação à importância da segurança.

De novo, todos têm de estar envolvidos...
É importante que toda a organização esteja envolvida na definição da política de segurança, pois ela faz parte da estratégia geral da organização.

Na verdade, a política de segurança afeta e é afetada pela organização, conforme se pode observar:

Para definir adequadamente uma política de segurança, é preciso:

• Fazer uma lista de todos os recursos que precisam ser protegidos. • Definir quem tem acesso físico ao hardware e acesso lógico ao software. • Catalogar as ameaças para cada um dos recursos. • Realizar uma análise de risco, mostrando a probabilidade de cada ameaça. • Avaliar que ameaças podem ser ignoradas em curto prazo, e quais precisam ser consideradas. • Fazer constantes avaliações e atualizações em busca de novas ameaças ou falha na segurança.

5 - Normas da segurança de dados e informações

Há normas oficiais de segurança?

A segurança em tecnologia da informação é tão importante que já há um código de prática para a gestão da segurança da informação.

A NBR ISO/IEC 17799, elaborada pela Associação Brasileira de Normas Técnicas (ABNT), é a tradução da ISO/IEC 17799 Information technology - Code of Practice for information security management.

O objetivo da NBR ISO/IEC 17799 é fornecer recomendações para a gestão da segurança da informação, servindo como base para que se desenvolvam normas de segurança organizacional.

A segurança da informação é obtida com a implementação de controles implementados por políticas, procedimentos, práticas e estruturas organizacionais, de acordo com a NBR ISO/IEC 17799 (2001).

As organizações e os seus sistemas são colocados à prova constantemente por diversos tipos de ameaças à segurança das informações. Essas ameaças podem ser fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo ou inundação, problemas causados por vírus e hackers, segundo a NBR ISO/IEC 17799.

Quais são os requisitos de segurança?

Essa norma também define que é importante para a organização identificar os seus requisitos de segurança. Existem três fontes principais:

• A primeira é derivada de uma avaliação de risco dos ativos da organização, para que sejam identificadas as ameaças, as vulnerabilidades e sua probabilidade. • A segunda é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais aos quais a organização, seus parceiros, contratados e prestadores de serviço têm que atentar. • A terceira são os objetivos e requisitos de processamento de informação que uma organização tem que estabelecer para apoiar suas operações.

A avaliação dos riscos de segurança é uma consideração sobre o impacto nos negócios causado por falha de segurança, e da probabilidade dessa falha ocorrer, considerando as ameaças e as vulnerabilidades mais frequentes e os controles já implementados.

Também há fatores críticos de sucesso?
A implementação da segurança da informação dentro de uma organização possui alguns fatores críticos de sucesso:

• Política de segurança, objetivos e atividades, que reflitam os objetivos do negócio. • Enfoque para a implementação da segurança coerente com a cultura organizacional. • Comprometimento e apoio da direção. • Bom entendimento dos requisitos de segurança, avaliação e gerenciamento de risco. • Divulgação eficiente da segurança para todos os gestores e funcionários. • Distribuição das diretrizes sobre as normas e política de segurança da informação para todos os envolvidos. • Educação e treinamento adequados.

A área de segurança é relativamente nova e carece de profissionais com qualificação adequada para o exercício de suas atividades. A NBR ISO/IEC 17799, além de definir procedimentos e metas em relação à segurança das informações, orienta o trabalho desses profissionais.