0
0
Novas técnicas de gerenciamento de risco interdisciplinar são necessárias para colher com segurança os benefícios das tecnologias transformadoras
Bob Violino, CIO (EUA)
As empresas estão procurando obter todas as vantagens baseadas na tecnologia que puderem, à medida que se adaptam a novas formas de trabalhar, gerenciar funcionários e atender clientes. Elas estão fazendo movimentos maiores em direção à nuvem, comércio eletrônico, cadeias de suprimentos digitais, inteligência artificial (IA) e machine learning (ML), análise de dados e outras áreas que podem oferecer eficiência e inovação.
Ao mesmo tempo, as empresas estão tentando gerenciar riscos – e as mesmas iniciativas digitais que criam novas oportunidades também podem levar a riscos como violações de segurança, falhas de conformidade regulatória e outros contratempos. O resultado é um conflito contínuo entre a necessidade de inovar e a necessidade de mitigar riscos.
“Sempre haverá certa tensão em relação ao gerenciamento de riscos e ao envolvimento no trabalho de transformação digital”, diz Ryan Smith, CIO da provedora de saúde Intermountain Healthcare.
“À medida que as organizações se articulam para aumentar o nível de acesso digital oferecido aos consumidores e membros da força de trabalho envolvendo informações pessoais e comerciais, isso cria formas de risco inteiramente novas que devem ser mitigadas em comparação com as formas tradicionais de conduzir negócios”, afirma Smith. “Esses novos modelos de engajamento, habilitados por meio da transformação digital, exigem diferentes abordagens de gerenciamento de risco”.
Aqui estão quatro áreas principais onde os esforços de transformação digital podem apresentar riscos – e como as organizações podem lidar com eles.
Infraestruturas de nuvem multicloud ou híbrida
Mais organizações estão mudando para ambientes de TI com suporte de vários serviços em nuvem, geralmente de mais de um provedor. Isso pode incluir ofertas de software como serviço (SaaS), plataforma como serviço (PaaS) ou infraestrutura como serviço (IaaS).
Independentemente dos tipos de nuvens usados, hospedar dados e aplicativos vitais fora do perímetro defensivo da própria organização apresenta um risco considerável, especialmente quando vários locais, serviços ou fornecedores estão envolvidos. Além de dados serem perdidos ou roubados, as empresas podem ter problemas com as regulamentações de privacidade de dados, sem mencionar o risco de estouros de custo que resultam de práticas inadequadas de gerenciamento de nuvem.
“Os riscos mais frequentes que vemos aqui envolvem a governança dos ambientes de nuvem: Qual provedor de nuvem? Qual protocolo? Limites para criação, utilização, tamanho, etc., para ambientes [de desenvolvimento] para otimizar o uso”, diz Ola Chowning, parceiro da consultoria de tecnologia e pesquisa ISG, acrescentando que é muito mais fácil lidar com questões de governança como essas no início em vez de pós-implementação.
Uma estratégia multicloud “tende a trazer maior complexidade e ferramentas desarticuladas de gerenciamento e automação”, diz Emal Ehsan, Diretor da Consultoria de Análise de Negócios Cervello, uma unidade da empresa de consultoria de gestão global Kearney. Essa complexidade pode apresentar risco de falha nas operações.
Além disso, os serviços de TI eram historicamente adquiridos de centros de dados de propriedade e operados pela empresa, com TI fornecendo supervisão do processo de aquisição. Agora, serviços em nuvem como PaaS podem ser facilmente adquiridos e implantados por usuários de negócios sem análises de arquitetura ou segurança, diz Smith da Intermountain. Os líderes de TI e de negócios precisam mitigar isso controlando quais serviços estão ativados e disponíveis para os usuários.
“Uma prática recomendada é garantir que, para todos os serviços de nuvem solicitados, [os serviços] sejam submetidos a análises adequadas de arquitetura e segurança em quaisquer plataformas de fornecedores IaaS, PaaS ou SaaS, antes de serem aprovados para uso na empresa”, afirma Smith. “Orientação e proteção devem ser estabelecidas antes que qualquer ferramenta de fornecedor de nuvem pública possa ser fornecida à organização, incluindo o monitoramento contínuo de todo o uso”.
TI, segurança cibernética e jurídico devem trabalhar juntos para se manter à frente de todos os esforços dos usuários de negócios para adquirir e consumir novos serviços em nuvem, diz Smith.
Cadeias de suprimentos digitais e canais de vendas
As empresas estão cada vez mais confiando em uma variedade de tecnologias para aprimorar e gerenciar suas cadeias de suprimentos, incluindo conectividade digital ponta a ponta, serviços em nuvem, blockchain, robótica, veículos autônomos e ferramentas analíticas avançadas, entre outros.
Essa transformação digital da cadeia de suprimentos pode aumentar a eficiência e a visibilidade, reduzir erros e custos, aprimorar a colaboração com parceiros de negócios e melhorar os processos. Também pode apresentar riscos, incluindo perda de dados.
Numerosas técnicas de mitigação de risco podem ser empregadas por partes envolvidas em serviços digitais business to business (B2B), diz Smith. Isso inclui o desenvolvimento de acordos comerciais abrangentes com parceiros que abordam os vários riscos e responsabilidades. As empresas também podem estabelecer controles de segurança cibernética e privacidade de dados para garantir a segurança da transmissão e do armazenamento de dados.
“As empresas normalmente exigem que essas conexões B2B sejam monitoradas para garantir que as políticas e procedimentos sejam cumpridos”, diz Smith. “Além disso, as melhores práticas recomendam que avaliações frequentes de risco de terceiros sejam realizadas para garantir que todos os participantes da cadeia de fornecimento digital estejam aderindo aos requisitos e padrões de segurança e privacidade do setor”.
As empresas também estão confiando mais nos canais de vendas digitais, como comércio eletrônico, e-mail, texto, aplicativos móveis e eventos on-line para alcançar clientes ou clientes potenciais.
“Os riscos que frequentemente vemos aqui [são] a falta de clareza em torno de uma estratégia multicanal ou, se mudarmos completamente para o digital, a falta de estratégia que possibilite a mudança por parte do parceiro, cliente, consumidor do outro lado”, diz Chowning. “Sem a estratégia totalmente delineada e direcionando prioridades e investimentos, as organizações podem se encontrar em uma situação de prioridade em constante mudança, onde efetivamente nenhum dos canais progride”.
Alguns esforços na criação de vários canais digitais até mesmo evoluíram para uma forma de luta interna, diz Chowning. “Tornar os canais múltiplos a responsabilidade e a responsabilização de uma única equipe de liderança é frequentemente uma estratégia de mitigação muito importante” para ajudar a evitar isso.
Internet das coisas (IoT)
Empresas de manufatura, saúde, varejo e outros setores começaram a implantar tecnologias IoT em massa para rastrear a localização de ativos, monitorar o desempenho do equipamento, reunir dados sobre o uso do produto e muito mais.
Os benefícios potenciais são atraentes, incluindo cadeias de suprimentos e fábricas mais eficientes, manutenção aprimorada de equipamentos e produtos, experiências aprimoradas do cliente e reduções de custos evitando a perda de mercadorias. Mas os riscos também são altos. Ataques distribuídos de negação de serviço, por exemplo, já foram atribuídos a dispositivos conectados, e as estratégias de IoT introduzem vários pontos de entrada para hackear, incluindo os próprios dispositivos conectados.
Dispositivos conectados dentro da empresa podem incluir potencialmente qualquer coisa, de sistemas HVAC a servidores e outros equipamentos de TI, veículos, sistemas de iluminação, termostatos, eletrodomésticos e muito mais. As organizações precisam procurar maneiras de proteger e reduzir o risco de dispositivos em rede para limitar as conexões desses dispositivos com outros dispositivos, diz Smith, e em alguns casos colocá-los em redes separadas.
“Além disso, é necessário um esforço especial para coordenar de perto os fabricantes de dispositivos para ajudar a garantir que esses tipos de dispositivos sejam mantidos atualizados para a aplicação de patches [do sistema operacional] e tenham os controles apropriados para protegê-los”, afirma Smith.
Outras práticas recomendadas incluem exigir que os fabricantes de dispositivos, por meio de contratos, forneçam maneiras de manter os dispositivos atualizados e seguros; e varredura de redes corporativas para detectar dispositivos IoT em busca de sinais de atividades suspeitas.
Automação e analytics
As empresas estão se esforçando para automatizar processos manuais demorados e trabalhosos, à medida que buscam acelerar as operações, reduzir erros e cortar custos.
Tecnologias como IA e automação de processos robóticos (RPA) podem ajudar a automatizar tarefas como entrada de dados, melhorando drasticamente a maneira como os processos de negócios são tratados, mas também podem apresentar riscos.
Os principais componentes de risco com analytics, IA e ML são os conjuntos de dados usados por cientistas de dados para treinar os modelos e as plataformas em que esses modelos são gerados, afirma Smith.
As mitigações de risco variam de contratos bem elaborados para gerenciar parcerias de big data a limitar os dados usados em conjuntos de dados aos dados mínimos necessários e usar dados anônimos quando possível, diz Smith.
Alguns dos riscos da automação podem vir da incapacidade de escalar rápido o suficiente ou atender às expectativas.
“O ecossistema de automação está passando por mudanças significativas no momento”, diz Ehsan da Cervello. “Olhando para trás, tudo começou com a terceirização de processos, em seguida, otimização de processos – Lean, Six Sigma – para RPA. O que estamos vendo agora é uma convergência de RPA e IA para resolver problemas de negócios complexos”.
Essa congruência de IA e RPA está abrindo novas possibilidades e casos de uso que não eram possíveis no passado, diz Ehsan, como o processamento inteligente de documentos com capacidade de 175 bilhões de parâmetros de machine learning ou o uso de redes neurais e deep learning para detectar anomalias nas transações.
As organizações devem definir expectativas de automação desde o início e envolver as partes interessadas de negócios e TI para criar consciência sobre os possíveis benefícios, recursos e usos da automação, diz Ehsan. Em seguida, eles devem apresentar pilotos rápidos, pequenos e de curto prazo que se concentram nos benefícios.
“Alavanque recursos altamente qualificados desde o início, contratando funcionários ou consultores para colocar em prática a governança, estruturas, gerenciamento de mudanças e comunicação, modelos, envolvimento de negócios, formação de caso de negócios e cálculo de ROI [retorno sobre o investimento]”, diz Ehsan.
Mitigação de risco digital em ação
Com qualquer iniciativa de transformação digital, as organizações devem avaliar completamente os riscos – incluindo aqueles associados às plataformas de tecnologia que usarão – por meio da colaboração entre TI, segurança, gerenciamento de risco, jurídico e outras partes interessadas. Ao determinar quais são os maiores riscos, os líderes de TI e segurança podem abordar as iniciativas de transformação com essa perspectiva em mente.
A Park Industries, fornecedora de sistemas de manufatura, tem vários esforços de transformação digital em andamento, incluindo automação de processos de negócios, integração de sistemas corporativos, migrações de nuvem e análise de dados relacionados à IoT.
“A segurança da informação e a qualidade dos dados são dois dos maiores riscos ao lidar com essas iniciativas de transformação”, disse David Lloyd, Diretor de TI da Park Industries. “Ter uma estratégia geral de dados que inclui segurança, privilégios baseados em funções, bem como a identificação de fontes únicas de verdade, auxilia na mitigação desses riscos”.
A maioria das organizações reconhece que alavancar a nuvem, IA, IoT e outras tecnologias pode fornecer benefícios substanciais, como maior agilidade de negócios, maior escalabilidade de serviços e custo reduzido, diz Smith. “No entanto, técnicas de gerenciamento de risco totalmente novas devem ser implementadas para apoiar essas capacidades transformadoras”, diz ele.
FONTE: CIO