CASO DE HARVARD GESTAO DE RISCO, AMEACA E VULNERABILIDADE

Prévia do material em texto

UNIVERSIDADE ESTÁCIO DE SÁ 
MBA EM SEGURANÇA DA INFORMAÇÃO 
 
 
 
 
 
 
Fichamento de Estudo de Caso 
 
Ivane Gonçalves 
 
 
 
 
 
 
Trabalho da disciplina: Gestão Risco, Ameaça e Vulnerabilidade 
Tutor: Prof. SERGIO RODRIGUES AFFONSO FRANCO 
 
 
 
 
 
 
 
 
 
 
Local: Presidente Vargas 
2017 
 
ESTUDO DO CASO 
 
SURGIMENTO DO MERCADO DE SOFTWARE DE SEGURANÇA E A F- 
SECURE 
 
REFERÊNCIA: ESTUDO DO CASO SURGIMENTO DO 
MERCADO DE SOFTWARE DE SEGURANÇA E A F- SECURE 
 
Dentre as invasões de computador amplamente divulgadas, a primeira ocorreu em 
agosto de 1986, quando um intruso persistente atacou o laboratório Lawrence Berkeley, 
na Califórnia. Um engenheiro de computação no departamento de física de Berkeley, 
Clifford Stoll, notou uma discrepância de 75 centavos nos sistemas de contabilidade do 
laboratório. 
 O próximo grande evento aconteceu em novembro de 1988, quando Robert 
Morris, Jr., um estudante de graduação em ciência da computação na Universidade de 
Cornell, desenvolveu um programa experimental, autorreplicante e de autopropagaçaõ 
chamado “WONM”, e injetou em um só (node) na internet. 
 Neste mesmo ano, Petri Allas e Risto Siilasma fundaram a F-SECURE. 
Naquela época, a maioria dos PCs não eram ligadas na rede, então proteger empresas 
contra ameaças de segurança propagada em rede ainda não parecia como uma 
oportunidade de negócios. Em 1991 a F-SECURE criou seu produto de antivírus . A 
primeira versão desta linha de produto chamado F_PROT PROFISSIONAL, foi enviada 
em setembro de 1991. 
Embora o mercado para programas antivírus fosse minúsculos, a F-SECURE 
estava convencida de que cresceria, achavam que a melhor tecnologia para proteção 
contra vírus estava de uma coleção de ferramentas desenvolvida por FRIDRIK 
SKULASON. Embora muito bom, o conjunto de ferramentas não era fácil de usar, nem 
era intuitivo. Você tinha que entender quando e como usar cada uma das duas dezenas de 
programas diferentes para assegurar a proteção. As duas partes que colaboram para 
desenvolver um produto comercial, o F-PROT versão 2, com interface e com menu. 
Pouco tempo depois, em1993, a F-SECURE desenvolveu uma versão de Windows, F-
PROT Professional versão 3. O produto esteva à frente de seu tempo em muitas maneiras. 
A F-SECURE também estabeleceu uma equipe de pesquisa antivírus para desenvolver e 
expandir as capacidades do produto. Eles perceberam, também, uma necessidade para 
distribuição com bom custo-benefício para soluções de segurança e lançaram um sistema 
de BBS (Bulletin Board System ou Quadro de Avisos) em 1991 e um servidor web no 
início de 1994. 
 Nos primeiros dias de negócios de segurança para computadores, os 
empreendedores de tecnologia tendiam a distribuir as ferramentas e software que eles 
desenvolveram como shareware. O campo avançou rapidamente conforme as pessoas 
compartilharam conhecimento sobre ameaças de segurança. 
A F-SECURE havia sido rentável desde a sua criação (e nunca tinha feito 
financiamento 
do risco), e por isso não faltou capital operacional. Mas sua posição de mercado 
significava que a empresa precisava encontrar uma nova maneira de competir num 
mercado global e crescente, podendo ultrapassar maiores rivais. Para adquirir fundos que 
poderiam permitir um salto e aumentar a visibilidade, os gestores decidiram levar a 
empresa a público. 
O anúncio ao público, em novembro de 1999, foi um enorme sucesso, mas os 
primeiros anos da empresa na bolsa de valores de Helsinque foram, no mínimo, 
turbulentos. Como a F-SECURE gastou muito para crescer, construir sua marca, contratar 
o talentos de P&D e expandir globalmente,7 seu lucro operacional ficou negativo (perdas 
de US$ 15,7 milhões US$ 12,2 milhões e US$ 1,1 milhões, de 2000 a 2002). 
 
 
Um momento decisivo importante: Entendendo os Mercados de Soluções de 
Segurança ISP 
 
 Depois da F-SECURE ter sido listada na bolsa de valores de Helsinque, em 
1999, a análise feita pelos gestores da empresa do mercado de software de segurança, e a 
posição da sua empresa dentro dele, levou a três fatos importantes para a estratégia de 
desenvolvimento da F-SECURE: 
 
• Apesar de ser relativamente jovem, o mercado de software de segurança era 
surpreendentemente maduro; os grandes participantes estavam no jogo há algum tempo, 
e duas empresas eram significativamente maiores do que o resto; muitos clientes 
corporativos já haviam se envolvido a uma das duas marcas globais mais fortes; 
 
• A F-SECURE não era uma das marcas dominantes; manteve-se como uma 
participante relativamente pequena, com uma participação de mercado de 0,5%; e, 
 
• A proximidade geográfica de clientes não fornecia nenhuma vantagem 
específica para provedores de soluções de segurança; assim como os ataques podiam ser 
lançados contra as empresas de qualquer lugar do mundo, então os programas antivírus e 
soluções de segurança poderiam também ser distribuídos em quase qualquer lugar. 
 A reputação do fornecedor de soluções de segurança importava, assim como 
a velocidade de um fornecedor em fornecer antídotos para novos vírus, mas os próprios 
produtos eram tão complicados que a maioria dos clientes não conseguiam discernir com 
precisão os níveis de eficácia em proporcionar segurança como um todo. Assim, os 
fornecedores de segurança tinham problemas em diferenciar seus produtos em 
características, o que levou a focar na construção da marca. 
 Uma outra realidade prática dos negócios da segurança também funcionou 
contra a diferenciação de produto: Todos os participantes compartilharam uma tradição e 
um sentimento de obrigação ética de compartilhar importantes conhecimentos de 
segurança. Uma pequena elite global que atravessava firmes fronteiras fazia a pesquisa e 
desenvolvimento sobre os vírus e outras ameaças de segurança, compartilhamento 
conhecimento para evitar atrasos desastrosos na implantação de medidas de segurança 
contra ameaças. 
 As soluções de segurança oferecidas através de marcas de ISP 
estabelecidas permitiam que a F-SECURE tivessem vantagem sobre os fornecedores, 
distribuindo através de varejo e canais de 
OEM. Além disso, ISPs já tinham relacionamentos com sua grande base de 
clientes. Se o F-SECURE distribuía através de ISPs, todos os clientes de um ISP também 
seriam um potencial cliente da F-SECURE, e poderiam ser provisionados e faturados 
utilizando métodos e procedimentos já em uso pelos ISPs. Soluções de segurança 
poderiam ser oferecidas como apenas mais um serviço de ISP. 
 No final de 2000, os gestores da F-SECURE decidiram tentar esta nova 
abordagem de distribuição. Eles esperavam ganhar vantagem na construção das 
competências de tecnologia e negócios para oferecer seu Software como um serviço de 
primeira. Várias condições deviam ser atendidas para que a estratégia fosse bem 
sucedida. Primeiro, a F-SECURE teve de convencer um número significativo de ISPs 
para comprar soluções de segurança, desta forma, da F-SECURE. 
 
 
 
Crescimento da F-Secure e a Evolução do Mercado, de 2001 a 2008 
 
 A FSECURE cresceu também durante este tempo; a receita alcançou 
aproximadamente US$ 47 milhões em 2003, US$ 116 milhões em 2007.10 
 Os desafios de segurança e as ameaças também evoluíram. Até por volta de 
2003, as ameaças vieram principalmente dos criadores de vírus "antigos" da Europa, dos 
Estados Unidos, do Canadá e da Austrália, principalmente "amadores" mexendo com o 
software e "fuçando" para encontrar falhas de segurança. Por volta de 2003, no entanto, 
as preocupações sobre os amadores tornaram-se secundária em relação às crescentes 
preocupações sobre os profissionais orientados para objetivos específicos. 
 Nos últimos anos, a utilização da Internet em mercados emergentes tem sido 
fenomenal: por exemplo,o Brasil atualmente possui mais 2 milhões de usuários de 
Internet. Consequentemente, desde 2003, crimes virtuais aumentaram muito no Brasil, na 
China e nos antigos países soviéticos. Como resultado disso, estes hackers tinham pouca 
razão para temer. As empresas de software frustradas tentaram várias medidas, porém 
ineficazes para combater esta tendência; a Microsoft, por exemplo, ofereceu grandes 
recompensas por informações que levaram à detenção e condenação dos criadores de 
vírus. Os autores de malware tinham mudado suas táticas, criando uma ilusão de ameaça 
em declínio. 
Em 2002-2003, a maioria dos malware foi espalhada através de anexos de e-mail, 
o que resultou em surtos de massa e brechas de segurança, tais como aqueles causados 
por ameaças chamadas de "Bagle," "Mydoom" e "Warezov." Em 2008, no entanto, enviar 
um anexo .EXE. A unidade de R&R da F-Secure por muitos anos foi considerada como 
a melhor do mundo e recebeu vários prêmios por ser a mais rápida para identificar, 
detectar e resolver novos tipos de ataques (ver Anexo). 
 
 
 
 A segurança como um modelo de tecnologia e serviços empresariais 
 
Os produtos de software de segurança precisam ser atualizados em tempo real para 
rodarem confiavelmente. E o modelo SaaS permite o fornecedor a oferecer diferentes 
serviços para diferentes usuários finais, oferecendo mais opções para diferenciação de 
preço ou serviço. 
O Anexo 9 compara a cadeia de valor de solução de segurança para o modelo de 
negócio tradicional e o modelo de negócios SaaS. Retrata como os componentes de 
software de segurança diferentes são organizados e como o valor é criado para o cliente. 
Em ambos os modelos de negócio, o fornecedor de software de segurança oferece e 
atualiza o pacote de software de segurança, que é instalado nas máquinas do cliente. 
A segurança como um modelo de serviço da F-scure 
Korpi ligou para os ISPs. Foram feitas de 10 a 150 chamadas para conseguir uma 
reunião com um prestador de serviço. Ele também visitou seminários e exposições de 
telecomunicações para se conectar com os operadores. A F-SECURE também se tornou 
a líder de mercado global em serviços de proteção de celular fornecidos através de 
operadoras como T-Mobile e Swisscom e fabricantes de aparelhos móveis, como Nokia. 
Durante o segundo trimestre de 2008, as receitas obtidas através de parceiros ISP 
atingiram US$ 13,9 milhões, que representa 43% do faturamento total da F-SECURE. 
Em 2008, a maioria dos ISPs percebeu que as soluções de segurança podem ser 
um componente importante das suas ofertas de serviço. A F-SECURE, já não precisava 
mais explicar porque esse serviço era necessário e porque fez sentido para os negócios. 
A F-SECURE também tinha sido bem sucedida em alcançar um alto grau de fidelidade 
do cliente. Na verdade, ela não perdeu um único parceiro de ISP. Uma das razões para 
isto: ofertas de serviços de segurança. 
 
Os desafios daqui para frente 
 
 O negócio do ISP na F-SECURE cresceu constantemente, mas importantes 
desafios permaneceram. 
Siilasmaa focou especialmente no que ele acreditava que eram dois grandes 
desafios. Primeiro, a F-Secure precisava manter sua posição forte no segmento de ISP, 
mesmo enquanto concorrentes tentaram entrar. A empresa foi inovadora, a primeira a 
oferecer muitas novas tecnologias, liderando a corrida no 
Fornecimento de ferramentas de software de segurança. A F-SECURE tinha sido 
a mais rápida a responder aos problemas de malware, conforme medido pela média da 
taxa de resposta, mas essa vantagem foi se tornando reduzida devido ao aumento da 
concorrência e automação de processos pelos principais participantes do setor de 
segurança. 
 Como devo a F-SECURE deve se posicionar na cadeia de valor que tinha 
ajudado a criar? Hyppönen trabalhou constantemente para melhorar a pesquisa, 
reforçando a comunicação entre diferentes sites em todo o mundo que estavam com os 
mesmos problemas. A FSECURE também tinha que continuar a desenvolver produtos 
inovadores para o segmento de ISP. Mas estes passos foram suficientes para manter a 
forte posição atual da empresa nos próximos cinco anos? Como a convergência 
tecnológica afetaria os mercados de software de segurança? Como o mercado pareceria 
em 5 anos? Quais novas oportunidades de negócios que a convergência digital iria 
apresentar à 
F-SECURE? Qual seria o aplicativo matador do futuro? Como o software de 
segurança será vendido no futuro? Como uma segurança como serviço se tornaria um 
modelo de negócio viável no futuro? Estas eram questões difíceis, mas importantes.