7 mitos de governança de TI

Aqui está um resumo de falácias comuns que devem ser erradicadas imediatamente

Author Photo
2:33 pm - 18 de maio de 2021

Quando projetada e funcionando corretamente, a governança de TI desempenha um papel fundamental no alinhamento de TI e metas de negócios, ajudando a focar, fortalecer e avançar a estratégia geral de negócios de uma empresa. Ainda assim, com muita frequência, os líderes de TI são vítimas de conceitos errôneos populares que não apenas prejudicam a governança de TI eficaz, mas também entram em conflito direto com os principais objetivos de negócios. O resultado final é uma empresa sobrecarregada por riscos desnecessários, vulnerabilidades de conformidade e oportunidades perdidas, entre outras deficiências graves.

Fazer com que as estruturas de governança de negócios e TI funcionem sem problemas e no mesmo caminho exige evitar as muitas falácias que surgiram ao longo do tempo para atrapalhar estratégias de outra forma sólidas. Aqui estão sete mitos particularmente destrutivos que você deve evitar ou abandonar imediatamente.

Terceirizar um processo de negócios terceiriza seu risco

Muitos líderes de TI assumem alegremente que os fornecedores terceirizados praticam uma boa higiene cibernética. “[Eles] muitas vezes não conseguem realizar a devida diligência para validar que o fornecedor está… operando controles básicos de TI sobre todos os aspectos de sua empresa”, observa Tom Garrubba, Vice-Presidente e CISO da Shared Assessments, uma organização global dedicada ao desenvolvimento às melhores práticas, educação e ferramentas necessárias para conduzir a garantia de risco de terceiros. “Essa fé cega pode pegar imediatamente o contratante desprevenido no caso de um incidente cibernético, incluindo indisponibilidade do sistema”.

Garrubba aconselha a realização de avaliações periódicas e detalhadas destinadas a validar os controles de higiene de TI dos fornecedores e como eles se alinham com o risco dos dados serem manipulados. “Além disso, é aconselhável monitorar continuamente o desempenho cibernético [do fornecedor] com várias ferramentas para garantir que eles atendam às expectativas”, acrescenta.

Garrubba alerta que as organizações que não conseguem realizar avaliações de risco completas de terceiros, independentemente do setor, já estão atrás da curva. “Essas avaliações agora são vistas como um procedimento operacional padrão em todos os setores”, diz ele.

O software pode resolver problemas enraizados na organização

O software de fluxo de trabalho pode ser usado para orientar com eficácia as operações de uma organização, a fim de garantir a aderência e a conclusão de um processo bem definido. Ainda assim, para muitas organizações, um “processo bem definido” é pouco mais do que um conceito mítico, observa Bryan Shoe, Instrutor de Governança de TI na empresa de treinamento de software DevelopIntelligence. O software só pode fornecer suporte para um processo organizacional, ele observa: “As ferramentas não são o processo. Eles não são uma panaceia para resolver os problemas organizacionais em questão”.

Antes de recorrer ao software para orientação de governança, as organizações devem primeiro garantir que definiram claramente sua visão, missão, metas e objetivos. “A partir daí, a governança orienta as decisões sobre a criação de processos operacionais para apoiar a visão, missão, metas e objetivos organizacionais”, diz Shoe. “Então, a organização pode selecionar e configurar ferramentas de software para facilitar os processos que ajudarão a atingir os objetivos organizacionais”.

A governança pode ser alcançada por meio de um único painel de vidro

A governança de TI bem-sucedida otimiza o gerenciamento de riscos, recursos e estratégias para atender aos objetivos planejados. “A capacidade de reunir e relatar aspectos críticos do desempenho e entrega de TI em vários domínios é a base para determinar a eficácia de seu programa de governança de TI”, afirma Andrew Morrison, Líder de Soluções de Estratégia, Defesa e Resposta de Serviços de Risco Cibernético dos EUA para a empresa de consultoria de TI e negócios Deloitte.

Infelizmente, o desejo de visualizar relatórios de governança de TI em termos de negócios claros e concisos de uma forma que possa ser facilmente consumida pelos tomadores de decisão criou um mercado cheio de afirmações de fornecedores de que uma única ferramenta ou solução pode fornecer toda a visibilidade e avaliação complexa necessária em toda a empresa.

A realidade é que a demanda por dados em tempo real, agregados por tecnologias, processos, políticas e pessoas díspares, supera em muito o fornecimento real de tais dados.

“Além disso, a complexidade dos sistemas de TI de hoje e o ritmo acelerado de mudança dentro da TI tornam a manutenção da conectividade para entradas de mudança rápida uma tarefa inútil em potencial”, afirma Morrison. “Embora muitas ferramentas excelentes forneçam uma visão unificada de porções da governança de TI – como risco, segurança, conformidade, controles e custo operacional – a maioria das organizações será mais eficaz ao otimizar o uso de soluções de relatórios criadas para vários fins em vez de tentar obter um verdadeiro ‘único painel de vidro’”.

As métricas garantem a conformidade

Na verdade, as métricas são virtualmente sem sentido, a menos que sejam apresentadas no contexto. “A liderança precisa de métricas para entender a segurança e provar a maturidade do programa, mas as métricas por si só não comprovam a conformidade”, disse Karen Walsh, Fundadora e CEO da Allegro Solutions, uma empresa de consultoria de conformidade de segurança cibernética.

O contexto emerge de quase tudo que envolve as métricas, incluindo pessoas, processos e tecnologias. “No final do dia, governança significa conhecer seu negócio e sua pilha de TI e entender como um impulsiona a adoção do outro”, observa Walsh. “Seus objetivos de negócios impulsionam suas compras de TI que, por sua vez, acabam por conduzir a próxima evolução de objetivos.

Em vez de se preocupar se as equipes atingirão certas métricas almejadas, a meta do líder de TI deve ser comparada um trimestre com o outro, diz Walsh. “Se você está vendo consistência de um trimestre para o outro e está satisfeito com o que está vendo, então você tem estabilidade”, observa ela.

A governança elimina problemas de controle de custos

Embora os controles de governança possam aumentar a visibilidade dos custos, bem como auxiliar na colocação e dimensionamento da carga de trabalho inicial (o que afeta os custos), a governança não é uma cura instantânea para todas as coisas relacionadas aos custos, afirma Brian Adler, Diretor Sênior de Estratégia de Nuvem no provedor de gerenciamento de ativos de software e otimização de licenças Flexera.

A otimização dos custos de TI é um esforço sem fim, mas fica mais fácil com o tempo. “À medida que as organizações continuam a desenvolver controles de governança relacionados ao provisionamento, sua exposição inicial a estouros de custo será reduzida”, explica Adler. Ele acrescenta que as organizações precisam perceber que o controle e a otimização de custos não são tarefas de “uma vez e pronto”. “É um processo contínuo e iterativo”, diz ele.

A governança desempenha um papel importante no controle de custos, especialmente durante o processo de provisionamento. No entanto, a otimização de custos também envolve outras funções-chave que não são necessariamente parte da mentalidade desenvolvida em ambientes tradicionais locais.

Adler incentiva os CIOs a resistir à tendência de superprovisão. “Se você estiver na nuvem, use a escalabilidade que ela oferece”, ele aconselha. “Coloque recursos não-24h por dia, 7 dias por semana, em uma programação”. Adler também recomenda aproveitar as ofertas de desconto do provedor, como instâncias reservadas e modelos de licenciamento. “A governança é um ótimo primeiro passo para controlar os custos, mas é exatamente isso – o primeiro passo”, diz ele.

A governança pode obrigar a conformidade

Um número significativo de CIOs acredita que a governança de TI serve principalmente para disciplinar as partes que não cumprem as políticas de conformidade do governo, bem como vários requisitos internos e externos.

“Embora a conformidade seja certamente uma função da governança de TI, ela não deve dominar a narrativa frontal sobre os programas de governança de TI”, diz Matt Donahue, Analista de Conformidade e Risco da Entrust Solutions, fornecedora de software de gerenciamento e otimização de TI.

A principal prioridade da governança de TI é gerar uma forte sinergia entre os objetivos financeiros e tecnológicos, abordando os interesses das partes interessadas e do cliente. “Os equívocos que pintam a governança de TI como um órgão disciplinar negam o potencial para um trabalho poderoso e o valor aditivo que a governança oferece aos provedores e às partes investidas”, explica Donahue. “Menos empresas provavelmente investirão em estruturas de governança de TI se não acreditarem que isso pode ser benéfico”.

Governança é algo inerentemente ruim

O maior mito da governança de TI é que a governança é, na melhor das hipóteses, um mal necessário. Isso simplesmente não é verdade. Em vez disso, os CIOs precisam ver a governança como uma ferramenta poderosa necessária para atingir os objetivos desejados.

“Use o que você precisa e não use o que não precisa”, aconselha Mike Kelly, CIO do provedor de software e serviços de código aberto Red Hat. Escolha o que governar e quanto governança é necessária. “Dessa forma, a governança sempre atende ao bem maior”, afirma.

Lembre-se também de que a governança nunca deve ser imposta de cima para baixo. “Para aumentar a adesão, torne a governança um esforço colaborativo e popular”, diz Kelly. “Com a adesão, você obtém excelência na implementação”.

A última coisa a lembrar é que a governança de TI deve evoluir continuamente. “Subtraia do processo, acrescente ao processo”, explica Kelly, “mas sempre veja isso como algo que pode e deve ser alterado para atender às necessidades e condições em evolução”.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.