Due Diligence em ativos de tecnologia
Due Diligence em ativos de tecnologia
Por Heloisa da Cruz Valdivia Lopes (heloisa.lopes@keeggo.com), Julia Ferrari Oliveira Lima (julia.lima@keeggo.com) e Marcos Untura Neto (marcos.untura@keeggo.com)
Por que se tornou essencial e como analisar temas de privacidade e segurança da informação?
.
Há um notável aquecimento do mercado de fusões e aquisições.
Em 2021, 2.560 operações foram responsáveis por um aumento de 51% em relação a 2020. A demanda reprimida no ano passado, devido às consequências da pandemia de covid-19, gerou um total de R$ 595,5 bilhões em volume de negócios. Tecnologia liderou em
número de operações – 933 operações –, seguida do setor financeiro e de seguros, com 469 transações, observando-se uma tendência de alta de negócios no setor de saúde.
Apostar no crescimento, ganhar escala, diversificar portfolio e buscar sinergias de receita são algumas das estratégias de ida às compras, com foco em aquisição de vantagens competitivas. Mas nenhum objetivo foi tão forte e disseminado quanto a necessidade de acelerar a transformação digital, num cenário de redução drástica de interações presenciais fruto de restrições sanitárias.
Desse movimento surge a necessidade premente de avaliar esses ativos de tecnologia do ponto de vista técnico em diversos níveis não cobertos pelas due diligences tradicionais, focadas em aspectos financeiros e legais do negócio.
Ativo ou passivo de tecnologia?
O desafio de uma tech due diligence é dar conforto aos investidores por meio de uma resposta técnica clara à pergunta estamos diante de um verdadeiro ativo de tecnologia?. Para além dessa resposta de caráter geral, que guiará a decisão de prosseguir ou não em direção ao fechamento do negócio, surgem uma série de questões subordinadas e parciais que jogam luz sobre aspectos específicos do conjunto tecnológico em análise. A resposta a essas perguntas adicionais atende a uma tripla expectativa das camadas gerencial, de governança e executiva dos destinatários da avaliação.

Os níveis gerenciais esperam entender com razoável grau de profundidade as potências e falhas técnico operacionais do artefato avaliado, com apontamentos detalhados que permitam ao mesmo tempo um entendimento das demandas operacionais emergentes no período pós-operação e as correções a serem
endereçadas. Além dos relatórios técnicos sobre desempenho, disponibilidade, escalabilidade, arquitetura e atendimento a requisitos legais e boas práticas de privacidade e segurança da informação, é recomendável que as camadas gerenciais acompanhem os trabalhos de avaliação. A gestão do compartilhamento dos resultados parciais com a organização ou unidade de negócio avaliada, de modo a permitir correções e melhorias antes das discussões sobre o fechamento (closing), também pode ser uma atribuição gerencial, sempre com observância das regras de calibração de confidencialidade e divulgação (disclosure) acordadas entre as partes.
Visões sobre vulnerabilidades, com descrições precisas de riscos e potenciais impactos, são usualmente consumidas pelos múltiplos níveis de governança das unidades de negócio envolvidas.
Já os níveis executivos necessitam de relatórios com dados e indicadores que forneçam subsídios suficientes para as discussões destinadas à tomada de decisão sobre o avanço à fase de conclusão do negócio. Nessa fase, custos de correções, melhorias necessárias e remediações devem estar quantificados para permitir ajustes de valor (valuation). Identificação de tesouros escondidos e armadilhas ocultas, repartição de riscos, estabelecimento de garantias, compensações recíprocas e hipóteses de indenização povoam a esfera de temas de interesse dos níveis de alta gestão.
.
Perspectiva multidisciplinar
Disponibilizar informações e indicadores úteis e estratégicos para todos os níveis das organizações envolvidas demanda uma cobertura técnica múltipla e com elevada capacidade de produzir visões integradas e coerentes. Times de performance, privacidade, segurança da informação, engenharia de software, infraestrutura, arquitetura de sistemas e governança de dados devem estar devidamente capacitados não apenas do ponto de vista técnico, mas também devem estar aptos a produzir interações e aproveitar sinergias que colaborem para a construção de relatórios sob uma perspectiva holística.
Essa integração é particularmente desafiadora e exige um patamar de maturidade e excelência em gestão de operações e projetos. O profissional responsável pelo gerenciamento das operações é peça fundamental na engrenagem que garante o engajamento dos diversos times envolvidos no projeto e a entrega ágil e sustentada de valor muitas vezes em tempo real, para atender o andamento paralelizado das negociações empreendidas em nível executivo.
Entrevistas e análises documentais estarão na trilha de atividades de mais de um time. Sincronia e interações técnicas, por exemplo, fazem parte do espectro de preocupações da gestão das operações da tech due diligence.
Na polo técnico, cabe aos especialistas nos diferentes pilares da análise a garantia da excelência técnica na coleta de insumos para a análise e no uso das ferramentas de apoio à avaliação.
.
Soluções voltadas a testes diversos, segurança de aplicações, scans de vulnerabilidades, mapeamento de ambientes, governança de privacidade e segurança da informação, entre outras, garantem a relevância e a precisão dos dados e indicadores gerados ao longo do processo.
.
A composição das inteligências de consultoria e tecnológica também cabem aos especialistas.
Ao final dos trabalhos operacionais, entra em cena uma atividade de especial importância estratégica consistente na compilação de um relatório único integrado, conjugando e articulando todas as frentes de análise.
.
Os eixos de privacidade e segurança da informação nas tech due diligences
.
Avaliações de maturidade em privacidade e proteção de dados relacionadas a um ativo de tecnologia ganham sentido quando a centralidade no titular de dados pessoais – objetivo primário de leis de privacidade e padrões de boas práticas – é respeitada na construção da metodologia e na execução dos trabalhos. Tecnologias não são neutras em sua essência, havendo intensos debates em torno de temas ético-valorativos, vieses, decisões algorítmicas e intencionalidade tecnológica. Por mais essa razão o processo de elaboração da metodologia não pode perder de vista o elemento humano que é impactado pelo ativo de tecnologia analisado.
Análises assistidas dos sistemas e ambientes em ação são especialmente úteis na compreensão de fluxos de dados, interações do usuário, exercício de transparência e identificação de finalidades para as operações de tratamento. Mas para garantir a composição de uma visão verdadeiramente holística é necessário entender como as diversas áreas do negócio avaliado tratam os dados bem como a existência de uma estrutura de recepção dos dados e respectivas operações de tratamento no âmbito da organização que incorpora esses elementos aos seus processos.
Avaliações de segurança da informação apresentam economias de escopo e eficiências fruto da conhecida relação de complementariedade com temas de privacidade e proteção de dados.
Tecnologias distintas usadas por negócios distintos pedem ajustes e especificações metodológicas, sempre com vistas à manutenção da cobertura da análise e da precisão dos resultados.
Modelos de maturidade e frameworks. A ideia de modelos de maturidade é particularmente útil na definição de uma metodologia de tech due diligence. Modelos de maturidade são sistemas de avaliação que permitem que as organizações avaliem seu progresso em uma determinada área. Eles tiveram origem no campo da gestão da qualidade, mas atualmente são usados em vários domínios, como desenvolvimento de software, segurança cibernética e privacidade.
Framework, por tradução direta, significa estrutura. É um sistema de princípios, regras e ideias usado quando da formação de decisões e julgamentos. Assim, frameworks de privacidade são conjuntos de diretrizes objetivas e customizáveis para organizações a fim de identificar e gerenciar riscos de privacidade nas operações e no ciclo de vida dos dados.
À sua vez, o modelo de maturidade é o sistema de avaliação que vai diagnosticar a efetividade da aplicação de um framework na organização ou nos usos de um ativo de tecnologia. A ideia de diagnóstico está no cerne do escopo de uma tech due diligence.
Modelos de maturidade AICPA/CICA e CNIL. O Privacy Maturity Model (PMM) é um modelo de maturidade baseado nos Generally Accepted Privacy Principles (GAPP), que é um framework de governança de privacidade desenvolvido em 2011 pelo American Institute of Certified Public Accountants (AICPA) e pelo Canadian Institute of Chartered Accountants (CICA). Os GAPP são constituídos por 10 princípios e 73 critérios mensuráveis segundo os 5 níveis de maturidade do Capability Maturity Model (CMM).
O AICPA/CICA PMM proporciona às organizações um método evolutivo para avaliar e melhorar o programa de privacidade, fornecendo um caminho claro de desenvolvimento e próximos passos para a obtenção de ganhos palpáveis de maturidade em privacidade.
São as etapas de evolução do AICPA/CICA PMM:

O PMM proposto pelo CNIL (Autoridade Francesa de Proteção de Dados) também adota os GAPP e os 73 critérios de mensuração do atendimento aos princípios. Além disso, incorpora as regras da ISO/IEC 21827 (segurança de sistemas de informação) e define 8 atividades mandatórias e de caráter estrutural em relação ao Programa de Privacidade e Proteção de Dados da Organização. Os parâmetros do CNIL PMM se traduzem na avaliação do status de implementação das 8 atividades essenciais. São elas:

Uma pesquisa rápida leva a outros modelos de maturidade elaborados e disponibilizados por reguladores e entidades de privacidade e proteção de dados. Nenhum deles, incluindo os aqui mencionados, é perfeitamente ajustável à realidade brasileira bem como ao contexto das tech due diligences. Mas a forma como articulam os princípios – muito semelhantes em conteúdo em relação àqueles enunciados na Lei Geral de Proteção de Dados –, com critérios que sistematizam e conferem maior grau de concretude às implementações por nível de maturidade, determinam a sua inegável utilidade.
.
Cabe ao time de especialistas compor a metodologia da avaliação de privacidade no contexto de uma tech due diligence de acordo com as indicações que um primeiro assessment rápido sobre o negócio e o ativo de tecnologia avaliados revelam.
.
Esse primeiro olhar, construído ao longo de uma curva de experiência, traz insights valiosos para a definição de escopo e prioridades.
Também compõe essa inteligência de construção metodológica uma decisão justificada a respeito dos critérios de análise descartados. Afinal, tech due diligences costumam transcorrer em prazos curtos (por vezes, 30 a 45 dias), com atividades paralelizadas em relação às negociações e demais avaliações.
Definidos os parâmetros de avaliação, resta ao time construir, parametrizar e disponibilizar as ferramentas que permitirão a geração de análises circunstanciadas, tabelas, gráficos, dashboards, coleta de evidências e relatórios de nível gerencial e executivo.
.
Frameworks de segurança da informação
No campo da segurança da informação, a ideia de frameworks é mais antiga, desenvolvida e difundida. Os conhecidos NIST Cybersecurity Framework, padrões ISO 27001, os CIS Controls, COBIT, entre outros, constituem um poderoso conjunto de ferramentas de diagnóstico, mensuração, estruturação e aplicação de melhorias em Programas de Segurança da Informação. Alguns deles, como resultado do reconhecimento da interação entre temas de privacidade e cibersegurança, passaram a adotar grupos e famílias de controles apartados voltados à proteção de dados e à garantia da privacidade.
O NIST Privacy Framework talvez seja o exemplo mais bem acabado dessa linha evolutiva dos frameworks de segurança da informação. Controles específicos de privacidade foram inseridos em todas as 20 famílias do NIST Cybersecurity Framework, de modo a fortalecer a proteção de infraestruturas críticas das organizações.
A extração de métricas e scores, a partir de uma linha mínima de atendimento aos controles, permite mensurações granulares e flexibilidade na elaboração dos reportes.
.
Segurança de aplicações e scans de vulnerabilidades
Ativos de tecnologia podem facilmente conter falhas de desenvolvimento geradoras de vulnerabilidades ocultas. A certificação da funcionalidade e desempenho adequado de uma dada aplicação não garante que esta não possa estar exposta a atividades maliciosas e ilícitas realizadas por intrusos e atacantes.
É frequente a criação de vulnerabilidades durante os ciclos de desenvolvimento do software. Times de
desenvolvedores e engenheiros de software nem sempre contam com uma expertise que lhes permite construir um código-fonte livre de vulnerabilidades. Para a detecção e avaliação dessas falhas são aplicados testes estáticos e dinâmicos de código.
Os testes estáticos (SAST) apontam com precisão trechos de código que, embora plenamente funcionais, representam vulnerabilidades amplamente conhecidas, mapeadas e exploráveis por atacantes e intrusos. Os relatórios dos testes estáticos trazem uma matriz de criticidade das vulnerabilidades identificadas bem como os detalhes dos impactos causados caso sejam efetivamente exploradas.
Uma outra perspectiva é trazida pelos testes dinâmicos (DAST). Múltiplas e concomitantes tentativas de invasão são realizadas pela solução na aplicação, simulando a atuação de atacantes na aplicação em execução. Aplicações mobile são igualmente testáveis (MAST).
.
Riscos e oportunidades
A tech due diligence se constitui como uma ferramenta essencial de controle e mensuração de riscos, permitindo também a identificação de oportunidades não vislumbradas quando da definição da estratégia de fusão e aquisição.
Sua adoção é etapa preliminar fundamental para a garantia da assertividade da intenção de investimento em um dado negócio no qual um ativo de tecnologia é representativo de parcela razoável dos interesses de aquisição, sem o qual a operação provavelmente perde o sentido inicial definido.
Problemas de performance, qualidade de software, arquitetura, infraestrutura, cibersegurança, privacidade e segurança da informação são ocultos e não são revelados nas due diligences jurídico-financeiras tradicionais. Contudo, tais problemas podem aportar riscos e subtrair valor do ativo de tecnologia objeto da operação bem como do negócio dela resultante como um todo.
A atuação especializada e pontual, na forma de uma tech due diligence, gera as visões necessárias para que os times executivos e gerenciais possam antever riscos, empreender uma avaliação mais precisa da operação e se preparar para remediações e correções.
