Redefinindo os riscos da TI no mundo pós-pandemia

Antonio Vázquez vê potencial para problemas em todos os lugares.

Vázquez, que começou em janeiro de 2021 como o primeiro CIO da empresa de tecnologia Bizagi, oferece uma longa lista de áreas onde algo pode dar errado: segurança, privacidade de dados, conformidade, relacionamento com fornecedores, gerenciamento de custos, acesso de funcionários a sistemas, pessoal e projetos de TI.

Ele está pensando se os funcionários entendem e seguem as políticas e padrões de segurança cibernética da empresa; se seus vendedores e fornecedores se modernizarão em um ritmo que atenda às necessidades de sua empresa; se os custos do fornecedor aumentarão; e se os investimentos transformacionais proporcionarão as experiências que os clientes desejam – ou, em vez disso, prejudicarão o relacionamento com eles.

“A partir do momento em que você pensa em projetos, contratos ou novos procedimentos, você também precisa pensar no risco”, diz Vázquez, observando que o ano passado mostrou a todos que riscos novos e inesperados podem surgir a qualquer momento.

Ele acrescenta: “A paisagem mudou bastante e, talvez, há dois anos, sentíamos que tínhamos tudo sob controle. Agora vemos que, às vezes, não. Você poderia ter implementado os melhores documentos e padrões, mas de repente algo acontece e tudo muda”.

Não há nada de novo sobre a necessidade de os líderes empresariais identificarem o risco e compreenderem seu apetite e tolerância a ele. Mas os tipos de riscos que enfrentam estão mudando, assim como a velocidade dessas mudanças, forçando muitas organizações a avaliar e reavaliar com mais frequência seus limites de riscos aceitáveis.

O papel do CIO nessas discussões também está evoluindo, à medida que a tecnologia se tornou cada vez mais crítica para a empresa em termos de sucesso e sobrevivência – como a pandemia e outros eventos recentes mostraram. Isso deixa os CIOs com a tarefa de avaliar novas áreas de risco, bem como redefinir seu apetite, tolerância e limite de risco – todos os quais estão mudando à medida que enfrentam um mundo pós-pandemia de novos desafios e novas oportunidades de negócios.

“Depende de quanto risco você pode suportar, e vai ser diferente dependendo de cada projeto e processo. E para muitos CIOs, isso mudou; pós-pandemia, você descobre que os parâmetros de risco mudaram”, diz Vázquez.

Uma nova era de risco de TI

Mesmo com os CIOs lidando com mais riscos do que nunca, as consequências de fazer um julgamento incorreto desses riscos estão ficando maiores. As organizações tornaram-se completamente dependentes de sistemas robustos para todas as suas funções, portanto, voltar a usar a caneta e o papel em apuros não é mais uma opção.

Os CIOs devem fazer o cálculo de risco certo – e eles têm muito a levar em consideração.

Os riscos de segurança estão no topo da lista de preocupações de muitos CIOs, por exemplo. A onda de ataques de ransomware durante o final da primavera [norte-americana], incluindo o ataque de maio de 2021 à Colonial Pipeline, que foi atribuído a uma VPN desprotegida, certamente destaca os desafios para os CIOs nesta área.

Os CIOs estão cada vez mais focados no risco de conformidade, à medida que mais regulamentos e leis, como o “direito de ser esquecido”, exigem que eles saibam com precisão onde os dados residem.

“Isso é uma função do cenário de tecnologia e da arquitetura e dos aplicativos que você tem em sua loja”, explica Benjamin Rehberg, Diretor Administrativo e parceiro sênior do Boston Consulting Group. “E quanto mais você não sabe qual é a única fonte real da verdade e se seus sistemas acessam apenas essa fonte única da verdade, maior o risco de conformidade”.

Os riscos associados aos sistemas legados também são as principais preocupações. A pandemia destacou os riscos associados aqui, à medida que as organizações que substituíram a tecnologia antiga por soluções em nuvem mudaram mais facilmente para o trabalho remoto e novos modelos de negócios, do que aquelas presas aos sistemas mais antigos.

Por outro lado, os esforços de modernização e transformação – junto com o ritmo rápido esperado para entregá-los – também criam riscos que os CIOs devem considerar.

“Muitas vezes somos pressionados a entregar mais e mais rapidamente, e não estamos perdendo tempo para obter feedback das partes interessadas em tempo hábil”, disse Eric Naiburg, COO da Scrum.org. “E isso é um risco porque, à medida que a equipe continua construindo mais, fica mais difícil mudar. Isso causa atrasos pois você terá que rearquitetar”.

Os riscos relacionados ao fornecedor também são problemas importantes para os CIOs. Falhas de alto perfil, como a violação da SolarWinds em 2020, demonstram como os problemas com fornecedores de tecnologia podem causar problemas na loja de TI da empresa e, portanto, na organização como um todo. Também há riscos a serem considerados do ecossistema da empresa, como aqueles introduzidos por provedores de serviços gerenciados e parceiros de negócios. Uma interrupção do sistema em um provedor de nuvem, por exemplo, pode ser um grande risco para um CIO se esse provedor hospedar um sistema crítico.

Os riscos relacionados à integridade dos dados também subiram na lista. As organizações estão cada vez mais confiando em dados para conduzir decisões, automação e sistemas inteligentes, de acordo com Alla Valente, Analista da Forrester. Como resultado, muitos viram sua tolerância por “dados menos que perfeitos” diminuir.

E há riscos sistêmicos externos ao negócio: furacões, incêndios florestais, recessões e pandemias, para citar alguns.

A maneira como os CIOs avaliam todos esses riscos varia de uma organização para outra, de acordo com analistas, consultores executivos e CIOs entrevistados sobre o assunto. Não parece haver uma tendência abrangente além dos CIOs revisarem o problema com mais frequência enquanto trabalham com seus colegas executivos para traçar suas estratégias pós-pandemia.

“Eles estão aprendendo com o que acabou de acontecer, se adaptando e decidindo onde e como remover os riscos”, diz Naiburg.

O contexto de negócios para a estratégia de risco

Saby Waraich, CIO da Clackamas Community College, em Oregon, oferece uma lista semelhante e abrangente ao falar sobre riscos. E, semelhante a outros, ele diz que sua tolerância ao risco está mudando por uma série de razões. Por exemplo, Waraich está reconsiderando os riscos que o data center da faculdade enfrenta depois que um recente incêndio ocorreu perto dele pela primeira vez.

Ao considerar os riscos que cabem a ele como CIO, Waraich vê todos eles sendo interrelacionados – e interligados com o negócio. “Não há risco de TI. Temos que mudar essa linguagem e perguntar: ‘Quais são os riscos do negócio?’”, questiona.

Afinal, se o data center pegar fogo, isso não apenas atrapalhará a TI, mas bloqueará e poderá até mesmo fechar temporariamente a organização como um todo.

Waraich acrescenta: “Portanto, se a TI avaliar esses riscos em uma abordagem isolada, não terá muito sucesso [nessa tarefa]. Você pode tomar uma decisão, mas se não é isso que preocupa a empresa, então não é a decisão certa”.

A pandemia reforçou o valor dessa abordagem, acrescenta. “Dois anos atrás, o foco estava mais na tecnologia e no risco para a tecnologia. A pandemia foi um alerta para os CIOs se concentrarem nos riscos do negócio, para que possam sempre manter os negócios funcionando”, diz ele.

Waraich avalia os riscos com isso em mente, pensando em como os problemas ou falhas – seja no data center ou como resultado de uma iniciativa de transformação – podem afetar as funções de negócios e os negócios como um todo.

Em seguida, ele identifica quais riscos podem prejudicar as operações de negócios e em que grau, um processo que ele usa para priorizar o trabalho que mitiga os riscos, traduzindo-os nas principais metas de TI.

Por exemplo, ele considerou a falta de pessoal 24 horas no help desk um risco inaceitável, considerando-se a quantidade de usuários que precisam de ajuda em horários estranhos; ele está implementando chatbots para ajudar a mitigar esse risco.

Enquanto isso, ele está trabalhando com outros líderes universitários para avaliar protocolos de segurança e controles de tecnologia à luz dos crescentes ataques cibernéticos e dos prêmios de seguro cibernético.

Os analistas da Forrester concordam com essa abordagem. “O risco da tecnologia é um risco do negócio”, diz Naveen Chhabra, Analista Sênior de Infraestrutura e Operações da Forrester.

De acordo com a Forrester, um número crescente de organizações criou comitês de risco, com a participação do CIO, para identificar os riscos e estabelecer o apetite e a tolerância ao risco. Isso ajuda a fornecer orientação sobre o que o CIO precisa fazer no domínio de TI para se alinhar com esses parâmetros.

Bryce Austin, um CIO e CISO experiente que agora atua como CEO da empresa de consultoria em segurança cibernética TCE Strategy, também vê valor nos CIOs que trabalham com outros executivos neste tópico. Ele observa que os riscos dentro de TI não representam apenas um risco para as funções de negócios existentes, mas também representam um risco para futuras oportunidades de negócios.

Esse é um dos motivos pelos quais ele aconselha os CIOs a pensar sobre os riscos junto com o planejamento estratégico e a ajustar ambos conforme as circunstâncias mudam. Ao estruturar a conversa em torno de como os riscos, se acontecerem, podem prejudicar os objetivos estratégicos, os CIOs podem determinar melhor a tolerância que têm para cada risco dentro de TI.

Por outro lado, no entanto, os CIOs não podem ser muito avessos ao risco – principalmente agora, conforme o mundo avança e se prepara para o que vem a seguir, diz Rehberg.

“CIOs que estão dispostos a fazer movimentos muito ousados e que estão dispostos a assumir riscos, no espírito de assumir riscos, sobreviverão no longo prazo”, diz ele. “A tecnologia agora é um fator estratégico para a forma como as empresas chegam ao mercado. Isso deve ajudar a definir o apetite pelo risco e o que o CIO deve estar disposto a fazer. E essa é uma discussão muito individual da empresa, uma decisão conjunta de negócios e tecnologia”.

Vázquez concorda, explicando que ele adota a noção de que ele chama de “risco desde o início” – uma abordagem pela qual ele identifica áreas de risco, implementa mitigações para trazer esses riscos a níveis aceitáveis e ajusta se e quando necessário. Dessa forma, diz ele, a empresa está protegida, mas a TI não está desperdiçando recursos por ser excessivamente cautelosa.