---

IT's new concern: 'Bring your own cloud'

As personal and professional clouds converge, IT's mission to improve productivity while protecting corporate apps and data is getting tougher.

Robert L. Mitchell

May 20, 2013 (Computerworld)

Bring your own device is so 2012. The next big push in the consumerization of IT is bring your own cloud. And just as when consumer devices poured into the enterprise, many IT organizations have already responded with a list of do's and don'ts.

The standard approach has been to forbid the use of personal cloud applications for business use, by offering official alternatives -- the "use this, not that" approach -- and to carve out separate cloud storage workspaces for business documents that can be walled off, managed and audited. But personal cloud services are difficult to control, and users are adept at going around IT if the productivity tools in their personal cloud can do the job easier, faster and better. IT wants a bifurcated approach to consumer and professional cloud apps and storage. But users don't work that way anymore.

Getting Around IT

Scott Davis, CTO of end-user computing at VMware, originally began using a personal cloud app for business after the IT organization failed to offer a viable solution that met his needs. Davis, who has speaking engagements all over the world and needs to share large multimedia presentation files, asked for an exception to VMware's email attachment size quota. IT responded first by suggesting that he pare down the content and then followed up by suggesting that he buy "a bag full of USB drives" to send presentations by mail.

"That's when I started using Dropbox," he says. "IT has competition. People know what's out there and how to get the job done if IT doesn't help them."

Gartner analyst Michael Gartenberg agrees. "IT has to deal not only with bring-your-own devices but bring-your-own services," he says. People will bypass even viable alternatives if they feel that the officially sanctioned professional cloud offering isn't equal to the task -- or if they have a personal cloud app they like better. "If it's digital and it's consumer, it's going to find its way into the office. People will come up with reasons for using it," he says.

At construction management firm Skanska USA Building, employees are mashing up business and personal work on a wide range of personal cloud services, including Dropbox and Evernote. Today, says senior enterprise engineer Jeff Roman, "We don't control that." But IT is actively reviewing its options. "What are we going to limit? What can they access at work and at home?" he asks. Right now that's controlled by use policies that employees must follow as to what types of documents need to stay out of the cloud and what's permissible. For example, financial data "should never touch a cloud service," he says, nor should some documents relating to government projects.

But Skanska is also looking for an officially sanctioned cloud storage option. It is considering Microsoft's SkyDrive Pro, using Citrix's ZenMobile to provide virtual access to files stored on back-end servers, or using niche services such as Autodesk Buzzsaw, which puts construction design tools and documents in the cloud. "We don't need people using all of these different tools," he says, but any solution must be as easy to use as the personal cloud tools employees rely on. Otherwise, users are likely to bypass the official alternative.

"It will be tough to find a one-size-fits-all solution," he says, "but we're working on it. I am hopeful that within the next year we will have one in place, whether that is on-premises or cloud or a hybrid of both."

Blurring the Lines

Organizations need to develop a three-pronged strategy for on-premises, off-premises and cloud, says Jim Guinn, managing director at consultancy PricewaterhouseCoopers. "You really need to pay attention to how you secure documents that are in someone else's cloud-based service," he says.

Roman says some documents just don't belong in popular cloud storage services. "I've read the whitepapers on Dropbox and Box. I guess they're secure," he says. But for sensitive documents, he adds, "we don't want to risk it."

Even the issue of who owns business applications and how those applications are licensed is blurring. Evernote for Business, for example, adds a business services layer that includes policy-controlled business notebooks and adds business document libraries to the user's personal Evernote account. Personal and professional documents reside in different repositories but with a unified view.

"We're seeing a transition from two completely separate worlds to a world where there is no line between what's good for personal and what's good for business," says Andrew Sinkov, vice president of marketing at Evernote. And if the user leaves the organization, the account -- sans business documents -- goes with him. "This model is little understood but I think will have a profound impact," says Frank Gillett, an analyst at Forrester Research.

With Office 2013 and SkyDrive, Microsoft has taken a small step toward creating a unified view of the user's personal and professional worlds. It has created synchronized, local versions of the user's SkyDrive and SkyDrive Pro (SharePoint document library) storage repositories that exist as separate folders on the user's local desktop. In this way, Office 365 can create and modify documents in the cloud, Office 2013 can read and write to the same files in a local folder, and all changes will be synchronized. "There's a convergence happening from the user's point of view," says Microsoft storyteller Steve Clayton.

This strategy gets around the modal approach to personal and professional workflows -- the two-car-garage model where the user must back out of one account bay and enter another to view and edit documents. Office applications can save to either folder. And if the user copies a document from his personal SkyDrive folder into the SkyDrive Pro folder, that file will be copied back to the cloud, where the policies for that document library will apply.

But only in the cloud. While IT can control which files users can sync with SkyDrive Pro, the cloud service can't control what users do with the locally stored versions of those files. Users either must work with sensitive files in the cloud only or use Office 2013's Information Rights Management feature to control forwarding, copying or printing of specific documents.

"Clearly, there's a lot of change coming where IT has to integrate these [personal cloud services] into the current stack and figure out how it will work together," says Amit Singh, president of the enterprise unit at Google, which in recent years has added enterprise features to consumer-based cloud applications such as Google Docs. With the latter, individual documents can be shared between the controlled, auditable professional account and the user's personal account. But Docs offers no unified document view. On the other hand, Google Plus, Singh says, "was imagined as a semipermeable layer where we add controls for the enterprise from the bottom up."

---

---

Hackers who breached Google’s network in 2010 obtained access to the company’s system for tracking surveillance requests from law enforcement, according to a news report.

The hackers gained access to a database that Google used to process court orders from law enforcement agencies seeking information about customer accounts, including classified FISA orders that are used in foreign intelligence surveillance investigations, according to the Washington Post.

The database contained years’ worth of information on law enforcement surveillance orders issued by judges around the country. The hackers were hoping to discover if law enforcement agents were investigating undercover Chinese intelligence operatives who were working out of the U.S.

The news confirms rumors that circulated at the time of the breach that Google’s hackers had gained access to this system.

“Knowing that you were subjects of an investigation allows them to take steps to destroy information, get people out of the country,” a former U.S. official told the Post.

Google stunned the security community in January 2010 when it became the first U.S. company to publicly announce that it had been hacked. The company said at the time that the intruders had stolen source code and were also trying to obtain access to the Gmail accounts of Tibetan activists.

Google wasn’t the only company that was hacked in 2010. Minutes after Google announced its intrusion, Adobe acknowledged in a blog post that it discovered Jan. 2 that it had also been the target of a “sophisticated, coordinated attack against corporate network systems managed by Adobe and other companies.” Eventually, reports surfaced that the attackers had targeted more than 30 companies, including financial institutions and defense contractors, seeking source code and other data. The attackers targeted source code management systems, which would have given them the ability to steal source code as well as modify it to make customers who use the software vulnerable to attack.

The sophisticated Google breach was traced to China and prompted Google to announce plans to stop censoring Google search results in that country. The breach also led Secretary of State Hillary Clinton to publicly condemn the intrusion and call on China to explain itself over the breach.

Asked by Wired at the time if its system for processing law enforcement surveillance requests was breached, a Google spokesman declined to answer.

But according to the Post, the breach launched a months-long dispute between Google and the Justice Department over the latter’s request to view logs and other forensic information about the breach. The Post doesn’t say what Google provided law enforcement.

The news comes weeks after a senior Microsoft official disclosed during a conference presentation last month that Chinese hackers had targeted his own company around the same time that Google had been hacked. He noted that the attackers had been trying to determine which Microsoft accounts were under surveillance by law enforcement. He suggested this had been their goal in hacking Google as well.

“What we found was the attackers were actually looking for the accounts that we had lawful wiretap orders on,” David W. Aucsmith, senior director of Microsoft’s Institute for Advanced Technology in Governments, said at the time.

The Post notes that Microsoft disputes that its servers were breached in the 2010 wave of attacks that struck Google and other companies. But Aucsmith never said the company was breached, just that it was targeted, suggesting that an attempt may have been made to breach the system but was either unsuccessful or was caught before the hackers could gain entry.

---

---

...
In June last year Ofcom outlined a draft anti-piracy code that would, if brought into law, place IP addresses at the heart of a new enforcement framework to combat online copyright infringement.

Under Ofcom's proposals, ISPs would issue "standard form" notifications to customers on the basis of evidence of alleged online copyright infringement gathered by rights holder groups and compiled in a 'copyright infringement report' (CIR). The evidence gathering procedures must be approved by Ofcom.

ISPs that issue subscribers with three letters within the space of a year would add the anonymous details of those customers to a 'copyright infringement list'. Rights holders would be able to request access to the list each month and could seek a court order obliging the ISPs to disclose the identity of the suspected infringers so that they can take legal action against them under the Copyright, Designs and Patents Act.

Under Ofcom's plans suspected infringers would generally have 20 working days to challenge warning letters from the moment they receive them. An "independent appeals body" would be appointed by the regulator to deal with the cases, although the suspected infringers would have to pay a refundable £20 fee to have their appeals heard. One of the grounds of appeal is that "the copyright infringement report did not relate to the subscriber’s IP address at the time of the apparent infringement."

BT told Out-Law.com that its CGNAT technology would not prevent the correct perpetrators of illegal online activity from being identified.

"The technology does still allow individual customers to be identified if they are sharing the same IP address, as long as the port the customer is using is also known," a BT spokesperson said in a statement. "Although the IP address is shared, the combination of IP address and port will always be unique and as such these two pieces of information, along with the time of the activity can uniquely identify traffic back to a broadband line."

"The IP address determines the location (each computer or device on the internet will have one) and a port makes a connection for the required application, e.g. accessing a web page, connecting to an email server. We dynamically allocate our broadband customers a source IP address which is allocated to the customer's Hub or router by our broadband network. The port is allocated by the TCP or UDP language the computer is using, based on the application or task in progress. For each IP address there are 65,000 ports that can be used," the statement said.

"With CGNAT our broadband network ‘translates’ the source IP address on the Hub to a shared IP address, and also translates the ports being used to one within a unique block, from the 65,000 IP addresses ports available. This block is assigned for that user and that user only. We log this translation i.e. the shared IP address assigned, the block of ports and the time. If we subsequently receive a request to identify someone who is using IP address x, and port number y, and time z we can then determine who this is from the logs," the spokesperson said.

"[In the case of the application of Ofcom's draft anti-piracy code] the copyright owner will provide the IP address, port and timestamp for a CGNAT customer, or IP address and timestamp for a non CGNAT customer. If only the IP address and timestamp are provided for a CGNAT customer then we are unable to identify the activity back to a broadband line," they added.
...

---

---

By Doug Madory on May 20, 2013 4:33 PM

In January, we reported the news that the ALBA-1 submarine cable connecting Cuba to Venezuela had started carrying Internet traffic two years after its construction, answering the question of what happened to the mystery cable to Cuba.




In the last week, we have observed a second non-satellite connection established for Cuban state telecom, ETECSA. This time a different segment of the ALBA-1 submarine cable is being used to connect Cuba to the neighboring island nation of Jamaica. At 15:04 UTC on 13 May 2013, we observed ETECSA beginning to receive international Internet service through Cable & Wireless Jamaica.

The graphic shows the make up of Internet transit providers used by ETECSA to reach the global Internet since 1 January 2013. Telefonica showed up on 10 January when ALBA-1 began carrying Internet traffic. C&W Jamaica appears in yellow on 13 May. There is a brief dip in the Telefonica plot as ALBA-1 was offline for about eight hours on 15 March and for two hours on 17 March, something we tweeted.




This past March, C&W Caribbean listed Cuba as one of the markets they planned to enter and fulfill the relationship signed three years prior when C&W Jamaica signed a partnership with the company established to oversee the ALBA-1 cable project, Cuban-Venezuelan joint venture Telecomunicaciones Gran Caribe (TGC).

Two weeks ago, I had the opportunity to present at LACNIC 19 in Medellin, Colombia. While there, I was able to speak to a manager from ETECSA. He said he and his staff had seen our blogs from January and confirmed that we were right about the initial asymmetric traffic misconfiguration of ALBA-1, which they fixed after a couple of days. It was pleasure to meet some of the people involved with this historic activation.

When we look at our recent traceroute measurement data into Cuba, we can see that the 13 May activation of ETECSA's link to Jamaica followed some connectivity problems on 10 May, as there were brief decreases in the rate of completing measurements on that day, regardless of upstream provider. This was followed by a reduction in connectivity through Telefonica (purple) and then the C&W Jamaica (green) activation.



On the Telecom Venezuela website describing the ALBA-1 cable project, it mentions that the link to Jamaica is for restoration purposes ("El otro segmento para fines de restauración será entre Cuba y Jamaica"). So perhaps this activation is to help alleviate some minor connectivity issues experienced recently by ETECSA. Regardless, it is great news to see another submarine cable connection get activated for Cuba.

---

---

A ministra Laurita Vaz, do STJ, determinou a quebra do sigilo da correspondência virtual ao Gmail, servidor do Google, em um inquérito que corre no STJ porque a parte tem prerrogativa de foro.

A partir de pedidos da investigação policial, o Judiciário tem mandado quebrar os sigilos tanto telefônico quanto de e-mail. De acordo com o que apuramos, os servidores de e-mail brasileiro têm cumprido à risca as determinações judiciais e entregue as informações. O mesmo não se dá com o Gmail, do Google, por impossibilidade técnica e legal.

Os servidores de e-mail do Google estão fisicamente instalados nos EUA. Para acessá-los é preciso seguir o ordenamento jurídico norte-americano. Com negócios no mundo inteiro, o buscador mantém rígida política quanto ao acesso dos dados. No caso do Brasil, há um tratado internacional com os EUA que facilita essa troca de informações. É uma garantia tanto dos norte-americanos, quanto dos brasileiros, de que as informações não serão dadas a torto e a direito. Assim, para ter acesso às informações do Gmail, há um processo diplomático, que hoje é bem rápido e utilizado cotidianamente pela JF.

No processo em questão, o Google reiterou as informações que vem prestando à Justiça, a qual necessita o trâmite já mencionado, por determinação legal. Em memorial, Luís Roberto Barroso e Eduardo Mendonça defendem não ser “possível exigir que a Google Brasil cumpra determinações relativas à entrega de dados do gmail, que são armazenados em outro país e gerenciados por pessoa jurídica diversa. Nessas condições, caracterizada a impossibilidade física e jurídica de cumprimento, a eventual imposição de medidas constritivas contra a Google Brasil seria manifestamente ilegal e inconstitucional, por constituir restrição a direitos fundamentais destituída de qualquer razoabilidade“.

Nesta quarta-feira, 17, a ministra Laurita Vaz levou o caso à Corte especial do STJ. Os ministros, sem muitas informações sobre o tema (não há contraditório instalado), passaram a debater a questão. Presente no plenário, a diretora jurídica do Google, Fabiana Siviero, pediu a palavra para prestar alguns esclarecimentos de fato. Mas os ministros, um a um, vencido o ministro Ari Pargendler (que chamou a atenção para o tratado internacional celebrado pelo país e que vincula o Judiciário brasileiro), decidiram que o Google é obrigado a dar as informações no prazo de 10 dias, sob pena de multa diária de R$ 50 mil para cada decisão descumprida. A ministra Laurita Vaz sugeria ainda processo crime por descumprimento, coisa que ponderadamente a maioria dos ministros refutou.

---

---

Em decisão que pode causar grande repercussão na Internet, o STJ definiu que o Google deveria retirar material protegido por direito autoral de forma imediata após ser notificado pelo detentor do direito.

A decisão, na prática, faz com que sempre que o dono de um direito autoral solicitar a retirada de algum material a um provedor, isso deverá ser feito de forma imediata, caso contrário – como aconteceu com o Google – o provedor passa a responder solidariamente com o dono do veículo que publicou o material sem autorização.

No caso concreto, o STJ manteve uma multa de 12 000 reais ao Google por não retirar de imediato material da Sette Informações Educacionais Ltda que estava publicado em blogs de terceiros, mas hospedados pelo gigante da informática.

O Google ainda argumentou que, após ser notificado judicialmente, retirou o material do ar, mas, para o STJ, a retirada deveria ter acontecido no momento que a empresa fez reclamação.

Por Lauro Jardim

---

---

O governo federal pode, sim, ter acesso a dados que cidadãos cederam a empresas. Mais que isso: um órgão estatal pode conseguir informações que foram apuradas por outra entidade do Estado, com finalidade diferente.

As conclusões são do professor de direito Bruno Magrani, da FGV-RJ. Ele é o autor do capítulo brasileiro em um estudo que mapeia maneiras pelas quais governos de todo o mundo conseguem acesso a dados particulares em poder de empresas.

A pesquisa foi coordenada pelo Center for Democracy and Technology, com sede em Washington, e será publicada como livro neste mês. Haverá capítulos sobre Alemanha, Canadá, China, EUA, Israel e Reino Unido, entre outros --a Folha teve acesso exclusivo à seção que trata do caso brasileiro.

Foram identificados dois principais modos pelos quais o Estado tem acesso sistemático a dados do setor privado.

Por meio da Anatel, que, com acesso em tempo real a dados das operadoras de celular, é tecnicamente capaz de saber quem ligou para quem e quanto tempo durou cada telefonema.

E por meio de acordos entre entidades públicas, como a Polícia Federal e o Ministério Público, e empresas, como o Facebook e o Google. Esse tipo de acordo tem o objetivo de acelerar processos.

Ao passo que tanto o Ministério Público como a polícia podem pedir à Justiça quebras de sigilo, a Abin (Agência Brasileira de Inteligência) não tem esse poder.

Isso, no entanto, não significa que o órgão fique sem acesso a esse tipo de informação. O Sisbin (Sistema Brasileiro de Informação), do qual a Abin e diversos outros órgãos federais fazem parte, determina que haja compartilhamento de informações.

Desse modo, se a Polícia Federal, por exemplo, tiver um pedido de quebra de sigilo de e-mail autorizado por qualquer instância da Justiça, a Abin pode ter acesso à mesma informação. "E sabe-se lá quais outras instituições", diz Magrani.

A desordem ocorre, afirma, porque não há legislação específica sobre o assunto no Brasil. "É o Código Civil que disciplina", explica. "Mas de forma muito genérica."

Apesar de ressaltar que o objetivo de ter acesso aos dados brutos das operadoras de celular não é fazer vigilância, a Anatel estabelece que tem competência para definir "extensão, profundidade, conveniência e oportunidade na obtenção dos dados e das informações necessários".

Com a resolução, passou a ser tecnicamente possível saber que linhas comunicam-se entre si.

Previsto para o início de 2013, o sistema ainda não foi posto em prática.

---

---

ALEXANDRE ORRICO
DE SÃO PAULO

"Aqui é Brasil, seu safado!", gritou o jogador identificado pelo apelido L3L3K antes de assassinar um norte-americano no "DayZ", game de tiro em primeira pessoa. "Tinha que ser brasileiro", reclamou a vítima.

No jogo, ambientado em um mundo pós-apocalíptico apinhado de zumbis, os participantes têm que cooperar para sobreviver.

Mas L3L3K faz parte de um grupo de jogadores que prefere roubar equipamentos e enganar outros gamers com o objetivo de "tocar o terror".

Há anos, o comportamento "tóxico" (termo usado pela indústria de jogos) é apontado por jogadores de games de multijogadores como tipicamente brasileiro.

"DayZ" é apenas o alvo mais recente, mas outros títulos, como "Call of Duty", "World of Warcraft", "DotA" e "Minecraft", entre vários outros, também têm legiões de arruaceiros brasucas.

No fórum do game "League of Legends", é possível ler frases como "brasileiros são o submundo dos games on-line, a personificação do que é ser troll, o mais infame e odiado tipo de jogador" e "graças a Deus, abriram servidores brasileiros, assim eles entram menos por aqui [nos servidores internacionais]".

O problema, é claro, não é exclusivo do Brasil. Mas nenhum outro país tem uma identidade negativa tão forte. Alguns brasileiros, na tentativa de fugir do estereótipo, mudam a nacionalidade de seus perfis no jogo, a fim de não serem rechaçados.

"Podemos afirmar que esse não é um problema que tem origem no game. O jogador é, no mundo on-line, reflexo de como vive no mundo real", diz Julio Vieitez, diretor geral da Level Up! (de games como "Grand Chase" e "Ragnarok") no Brasil.

GANGUE DOS HUE'

"Jogadores brasileiros em games on-line são uma gangue, e não um grupo", disse Isac Cobb, desenvolvedor independente, durante a feira de jogos PAX East 2013, em Boston, nos EUA.

Cobb chegou a cogitar o bloqueio dos brasileiros no novo jogo, mas disse que ainda não há nada decidido.

Entre as reclamações, estão a realização de assaltos, mendicância, ataque a membros do próprio time e outras atrocidades virtuais.

"Curtimos tocar o terror", admite Caio Simon, 19, jogador de "DayZ". "É só um jogo, estamos nos divertindo. Não é para levar tão à sério."

Esse tipo de jogador é, às vezes, chamado de "hue", por causa da típica representação de risada, normalmente disparada após cometer alguma barbaridade: "HUEHUEHUE".

---

---

Globo.com redirecting users to Spam ads

May 19, 2013 by David Dede

Globo.com, one of the largest Brazilian web portals (ranked #107 on Alexa and #6 for Brazilian traffic) appears to be compromised and all visits to it are being redirected to a sub page inside pagesinxt.com. If you go to g1.globo.com (or any other of their sub domains), you will end up on a page full of ads about Hosting, Internet and fake email products

That redirection has been going for a few hours at least and we detected it for the first time around 8am EST and it is still live four hours later (noon EST).
What is going on?

We are investigating, but at the bottom of any page inside google.com there is a script being loaded from sawpf.com:

That javascript file is being very slow to load, but when it does, it runs the following code:

Which forces the browser to redirect the to pagesinxt.com. At this point, we recommend all users to do not visit any globo.com page (or go there with Javascript disabled).

---

---

Se o governo federal fosse uma empresa privada, poderia ser alvo de uma ação por propaganda enganosa no Procon. Seu Programa Nacional de Banda Larga (PNBL), lançado com foguetório há três anos, prometia oferecer Internet rápida e barata para que os brasileiros das regiões mais pobres pudessem estudar, informar-se, divertir-se e movimentar a economia comprando pela rede. Os objetivos seriam atingidos com a criação, a partir de trechos já existentes, de uma rede nacional de fibra óptica, a ser gerida pela Telebrás - a estatal de telecomunicações que foi reativada especialmente para dar vida ao programa. O governo ofereceria a estrutura e abriria concessões para que operadoras de telefonia conquistassem novos clientes. O anúncio oficial dizia que, até o fim de 2014, 40 milhões de pessoas, em 4 278 municípios de todos os estados do Brasil, poderiam contar com o serviço. Na propaganda, uma maravilha. Na vida real, porém, nada saiu como o anunciado. Passada mais da metade do prazo estipulado para a conclusão do plano, o governo descumpre todas as promessas que fez.

---

---

Hi,

Unfortunately, our spanish support is not available today.

We are working with many RBL but not with UCE Protect: we won't ask for a removal of block blacklisted on UCE Protect.

As UCE Protect should not be widely used to protect mailboxes from SPAM, I honestly suspect there is another reason that could explain your issue.

Could you send me some logs from your mail server showing delivery issues ?

Thanks for your collaboration

Regards,

Eric @ SWAT Support OVH

---

---

REINALDO CHAVES
COLABORAÇÃO PARA A FOLHA

A Hellofood, que entrega comida a domicílio após pedidos por internet e celular, começou a operar em abril e já tem 300 restaurantes parceiros. Mesmo assim, a empresa prevê que só atingirá o ponto de equilíbrio (condição em que o faturamento é suficiente para cobrir as despesas) daqui a dois anos.

Não se trata de um caso único. Apesar do otimismo em relação ao e-commerce, ainda é difícil obter lucro real com esse tipo de empresa.

A ABComm (Associação Brasileira de Comércio Eletrônico) espera terminar este ano com 36 mil lojas virtuais no país.

Segundo o presidente da entidade, Maurício Salvador, cerca de 30% delas atendem apenas dez pedidos por dia, em média.

"Para empresas de micro e pequeno portes, calculamos que o ponto de equilíbrio demora entre 12 e 19 meses."

Para João Carlos Natal, consultor do Sebrae-SP especializado em lojas virtuais, o setor superou o desafio da década passada, de se tornar confiável para o consumidor, mas isso fez com que a competição aumentasse muito em pouco tempo.

Além disso, existem entraves como os custos elevados de frete, o fluxo de caixa irregular por causa dos pagamentos parcelados e as dificuldades de planejamento devido ao modelo de crescimento rápido.

A Hellofood vai equilibrar suas finanças nos seus primeiros anos com recursos do fundo de investimentos alemão Rocket Internet GmbH. Emerson Calegaretti, 42, e Marcelo Ferreira, 26, que dividem a função de presidente-executivo, não revelam o valor recebido, mas afirmam contar com apoio suficiente para ao menos cinco anos.

"Mas temos uma pressão do investidor para andar com as próprias pernas em até dois anos, o que inclui uma orientação constante para não aumentar os custos desproporcionalmente aos pedidos", afirma Ferreira.

Sem receber investimentos, o caminho para um e-commerce chegar no lucro pode ser ainda mais longo. A Enjoei, uma loja virtual de roupas e presentes usados, levou três anos para atingir esse nível.

Tiê Lima, 33, um dos cofundadores, diz que a empresa fez adaptações no plano de negócios. No meio do ano passado, foi decidido usar o C2C (de cliente para cliente, em inglês), ou seja, a empresa passou a atuar como uma intermediária nas vendas entre os internautas.

A Enjoei obtém suas receitas cobrando 20% do valor das vendas e mais uma taxa fixa de R$ 2,15. Segundo Lima, em dezembro do ano passado a empresa começou a ter lucro operacional (quando existe diferença positiva na subtração do lucro bruto e das despesas operacionais).

"Isso foi atingido porque criamos uma marca ao longo dos anos e sempre planejamos os custos. Além disso, escolhemos um mercado de nicho, que é mais fácil de lidar se for bem atendido", afirma.

SEM MÁGICA

Natal, do Sebrae-SP, esclarece que uma loja virtual exige uma estrutura menor do que uma loja física, mas precisa também de um plano de negócios rígido, como qualquer negócio, para dar certo.

"É preciso ter um plano com metas, tendo por base o mercado e a estrutura da empresa. E sempre reinvestir [os valores ganhos] no próprio site no início do negócio", recomenda. "É errado usar o caixa da empresa para retiradas pessoais", completa.

Lima, por exemplo, abandonou seu trabalho como publicitário no ano passado para se dedicar ao seu negócio, mas antes fez uma reserva de seis meses para não usar o caixa da empresa.

O especialista do Sebrae-SP é até mais rígido: como a entidade considera que o prazo para atingir o ponto de equilíbrio é de cerca de dois anos, ele orienta uma poupança equivalente de gastos pessoais.

Sobre o dia a dia da empresa, ele afirma que "não há mágica". "Uma empresa on-line saudável tem que ter um faturamento quatro vezes maior que o custo fixo", diz.

Despesas fixas são itens como salários, encargos sociais e trabalhistas, aluguéis, impostos e contas de água, gás, luz, telefone e condomínio. Já as despesas variáveis são gastos com comissões sobre vendas e impostos sobre vendas, taxas de cartões de débito e crédito e frete.

PAGUE O FRETE

O e-commerce de celulares, smartphones e acessórios Webfones foi criado em janeiro do ano passado. Guilherme Ribeiro, 29, sócio fundador da empresa, afirma que no começo tinha que "preencher uma folha em branco", ou seja, criar a estrutura de estoque, logística, atendimento, administração e produtos. Por isso, estava ciente das dificuldades de retorno.

Por essa razão, sua equipe sempre foi enxuta (hoje tem dez pessoas) e o aumento de funcionários se deu em áreas consideradas prioritárias, como o setor financeiro e o atendimento ao consumidor. Nas demais, com o auxílio da tecnologia e esforço interno, houve um acúmulo de tarefas. Ribeiro, por exemplo, até hoje cuida das compras.

Nesse período, a empresa aprendeu a lidar melhor com suas despesas variáveis. O frete grátis, um grande chamariz de consumidores e também fonte de despesas elevadas, era oferecido no começo da operação, mas logo foi abandonado.

"Precisei usar essa estratégia para me estabelecer no mercado, mas as margens nas vendas caem muito, não compensa. Logo comecei a fazer experiências com os consumidores, cobrando o frete, e não houve reduções nas vendas", afirma.

Outro vilão das despesas variáveis para o e-commerce é o parcelamento, que causa incertezas e desequilíbrios no fluxo de caixa. A solução encontrada na Webfones foi passar a incentivar a venda à vista, com descontos de 10% no pagamento por meio de boleto.

Essas providências deram resultado e Ribeiro afirma estar perto de atingir o ponto de equilíbrio e espera faturar
R$ 20 milhões neste ano.

VENDER TUDO

Gabriel Lima, diretor da consultoria de comércio eletrônico eNext, estima que 50% das lojas virtuais do Brasil estão no prejuízo. Ele atribui isso ao excesso de competição atual e também à falta de foco.

"Existem muitas empresas que abrangem vários setores, com uma gama grande de produtos. Algumas até possuem faturamentos enormes, mas as despesas também são inúmeras. Elas têm muitos custos, que crescem na mesma escala que as vendas aumentam", afirma.

A B2W, por exemplo, que reúne sites como Submarino, Ingresso.com e Shoptime, teve prejuízo de R$ 170,6 milhões em 2012, apesar de obter uma receita de R$ 4,8 bilhões, de acordo com o último balanço da companhia.

A loja virtual Netshoes de artigos esportivos é o outro exemplo de loja virtual que não dá lucro. A empresa nasceu em 2000 como loja física e em 2007 decidiu atuar apenas na operação on-line. Em 2012, teve um prejuízo de R$ 79,3 milhões e diz nunca ter alcançado o ponto de equilíbrio, mesmo faturando R$ 1,13 bilhão.

Desde 2007, a empresa teve um crescimento médio de 140% ao ano em faturamento e recebeu apoio de fundos de investimentos.

O gerente de assuntos corporativos da empresa, Renato Mendes, 33, afirma que ela caminha para atingir o ponto de equilíbrio neste ano -a companhia elevou o valor mínimo para parcelamento e passou a cobrar frete por entregas feitas rapidamente.

"O e-commerce tem uma barreira de entrada baixa e, quando você atinge escala, o negócio cresce muito rápido. O perigo é que os custos sobem junto e o caixa fica sem dinheiro. Por isso a conta não fecha", diz.

---