Mitigue os riscos ocultos da transformação digital

Ao mesmo tempo, as empresas estão a tentar gerir os riscos – e as mesmas iniciativas digitais que criam novas oportunidades podem também conduzir a riscos como falhas de segurança, falhas de conformidade regulamentar e outros reveses.

Por Bob Violino

As empresas procuram obter todas as vantagens baseadas na tecnologia que podem, à medida que se adaptam a novas formas de trabalhar, gerir os colaboradores e servir os clientes. Estão a fazer movimentos maiores em direção à computação em nuvem, comércio eletrónico, cadeias de fornecimento digital, inteligência artificial (IA) e machine learning (ML), análise de dados e outras áreas que podem proporcionar eficiência e inovação.

Ao mesmo tempo, as empresas estão a tentar gerir os riscos – e as mesmas iniciativas digitais que criam novas oportunidades podem também conduzir a riscos como falhas de segurança, falhas de conformidade regulamentar e outros reveses. O resultado é um conflito contínuo entre a necessidade de inovar e a necessidade de mitigar os riscos.

“Haverá sempre alguma tensão sobre a gestão de riscos e o envolvimento no trabalho de transformação digital”, diz Ryan Smith, CIO da prestadora de cuidados de saúde Intermountain Healthcare, nos Estados Unidos.

“À medida que as organizações se articulam para aumentar o nível de acesso digital oferecido aos consumidores e aos membros da força de trabalho que envolvem informações pessoais e empresariais, isso cria formas inteiramente novas de risco que devem ser atenuadas em comparação com as formas tradicionais de conduzir negócios”, diz Smith. “Estes novos modelos de compromisso, habilitados através da transformação digital, requerem diferentes abordagens de gestão de risco.”

Eis quatro áreas-chave onde os esforços de transformação digital podem apresentar riscos – e como as organizações podem lidar com isso:

Infraestruturas de multicloud ou híbridas

Mais organizações estão a mover-se para ambientes de TI apoiados por múltiplos serviços na cloud, tipicamente por mais do que um fornecedor. Isto pode incluir ofertas de software-as-a-service (SaaS), plataforma-as-a-service (PaaS), ou ofertas de infraestruturas como um serviço (IaaS).

Independentemente dos tipos de computação em nuvem utilizados, alojando dados vitais e aplicações fora do perímetro defensivo da própria organização apresenta um risco considerável, especialmente quando estão envolvidos vários locais, serviços ou fornecedores. Além dos dados serem perdidos ou roubados, as empresas podem ter problemas com as regras de privacidade de dados (RGPD), para não mencionar o risco de explosões de custos que resultam de práticas de gestão de computação em nuvem inadequadas.

“Os riscos mais frequentes que vemos aqui envolvem a governação dos ambientes em computação em nuvem: Qual o fornecedor? Que protocolo? Limites para criação, uso, tamanho, etc., para ambientes [de desenvolvimento] otimizar o uso”, diz Ola Chowning, parceira da consultora americana de tecnologia e pesquisa ISG, acrescentando que é muito mais fácil lidar com questões de governação como estas no início e não com a pós-implementação.

Uma estratégia multicloud “tende a trazer maior complexidade e ferramentas de gestão e automação desarticuladas”, diz Emal Ehsan, Diretor da Cervello Business Analytics Consulting, uma unidade da empresa de consultoria de gestão global Kearney no Estados Unidos. Esta complexidade pode representar um risco de falha nas operações.

Além disso, os serviços de TI foram historicamente adquiridos a partir de centros de dados detidos e operados pela empresa, com a TI a fornecer supervisão do processo de aquisição. Serviços de computação em nuvem como o PaaS podem agora ser facilmente comprados e implementados por utilizadores de negócios sem análises arquitetónicas ou de segurança, diz Smith da Intermountain. As TI e os líderes empresariais precisam de o mitigar, controlando quais os serviços que estão habilitados e disponíveis para os utilizadores.

“Uma das melhores práticas é garantir que, para todos os serviços na nuvem solicitados, [os serviços] sejam submetidos a uma análise arquitetónica e de segurança apropriada em quaisquer plataformas de fornecedores iaas, PaaS ou SaaS antes de serem aprovados para uso na empresa”, diz Smith. “A orientação e a proteção devem ser estabelecidas antes de qualquer ferramenta pública de fornecedor de computação em nuvem poder ser fornecida à organização, incluindo monitorização contínua de todo o uso.”

A TI, a cibersegurança e a legalidade devem trabalhar em conjunto para se manterem à frente dos esforços de todos os utilizadores empresariais para adquirir e consumir novos serviços de computação em nuvem, diz Smith.

Cadeias de fornecimento digitais e canais de vendas

As empresas estão cada vez mais dependentes de uma variedade de tecnologias para melhorar e gerir as suas cadeias de fornecimento, incluindo conectividade digital de ponta a ponta, serviços de computação em nuvem, blockchain, robótica, veículos autónomos e ferramentas de análise avançadas, entre outras.

Esta transformação da cadeia de fornecimento digital pode aumentar a eficiência e visibilidade, reduzir erros e custos, melhorar a colaboração com os parceiros de negócio e melhorar os processos. Pode igualmente apresentar riscos, incluindo a perda de dados.

Numerosas técnicas de mitigação de riscos podem ser utilizadas por partes envolvidas em negócios digitais para serviços empresariais (B2B), diz Smith. Isto inclui o desenvolvimento de acordos comerciais abrangentes com parceiros que abordam os vários riscos e responsabilidades. As empresas também podem estabelecer controlos de cibersegurança e privacidade de dados para garantir a segurança da transmissão e armazenamento de dados.

“As empresas normalmente exigem que estas ligações B2B sejam monitorizadas para garantir que as políticas e procedimentos são cumpridos”, diz Smith. “Além disso, as melhores práticas recomendam que sejam realizadas avaliações frequentes de risco de terceiros para garantir que todos os participantes na cadeia de fornecimento digital estejam a aderir aos requisitos e padrões de segurança e privacidade da indústria.”

As empresas também estão a contar mais com canais de vendas digitais como e-commerce, e-mail, texto, aplicações móveis e eventos online para chegar a clientes ou prospetos

“Os riscos que vemos aqui muitas vezes [são] a falta de clareza em torno de uma estratégia multicanal ou, se mudarmos completamente para o digital, a falta de estratégia que permite a mudança do parceiro, do cliente, do consumidor do outro lado”, diz Chowning. “Sem a estratégia totalmente delineada e dirigindo prioridades e investimentos, as organizações podem encontrar-se numa situação de constante mudança de prioridade, onde efetivamente nenhum dos canais avança.”

Alguns esforços para criar múltiplos canais digitais evoluíram até para uma forma de luta interna, diz Chowning. “Fazer de vários canais a responsabilidade e a responsabilidade de uma única equipa de liderança é muitas vezes uma estratégia de mitigação muito importante” para ajudar a prevenir isso.

Internet das Coisas (IoT)

A indústria transformadora, a saúde, o retalho e outras indústrias começaram a implementar tecnologias IoT a granel para monitorizar a localização dos ativos, monitorizar o desempenho do equipamento, recolher dados sobre o uso do produto, e muito mais.

Os benefícios potenciais são atrativos, incluindo cadeias e fábricas de fornecimento mais eficientes, equipamentos melhorados e manutenção de produtos, melhores experiências com o cliente e economia de custos que impeçam os bens perdidos. Mas as apostas também são altas. Os ataques de negação de serviço distribuídos, por exemplo, já foram atribuídos a dispositivos conectados, e as estratégias IoT introduzem vários pontos de entrada para hackear, incluindo os próprios dispositivos conectados.

Os dispositivos conectados dentro da empresa podem potencialmente incluir qualquer coisa, desde sistemas AVAC a servidores e outros equipamentos de TI, veículos, sistemas de iluminação, termostatos, aparelhos e muito mais. As organizações precisam de procurar formas de proteger e reduzir o risco de dispositivos em rede limitar as suas ligações a outros dispositivos, diz Smith, e em alguns casos colocá-los em redes separadas.

“Além disso, é necessário um esforço especial para coordenar de perto com os fabricantes de dispositivos para ajudar a garantir que estes tipos de dispositivos são mantidos atualizados para a aplicação de patches [do sistema operativo] e têm os controlos adequados para protegê-los”, diz Smith.

Outras boas práticas incluem a necessidade de os fabricantes de dispositivos, através de contratos, fornecerem formas de manter os dispositivos atualizados e seguros; e digitalizar redes corporativas para detetar dispositivos IoT para sinais de atividade suspeita.

Automação e análise

As empresas estão a esforçar-se para automatizar processos manuais demorados e laboriosos, à medida que procuram acelerar as operações, reduzir erros e reduzir custos.

Tecnologias como a IA e a automatização de processos robóticos (RPA) podem ajudar a automatizar tarefas como a entrada de dados, melhorando drasticamente a forma como os processos de negócio são tratados, mas também podem apresentar riscos.

Os principais componentes de risco com análise, IA e ML são os conjuntos de dados utilizados pelos cientistas de dados para treinar os modelos e plataformas em que estes modelos são gerados, diz Smith.

As mitigações de riscos vão desde contratos bem trabalhados até à gestão de grandes parcerias de dados até à limitação dos dados utilizados nos conjuntos de dados até aos dados mínimos necessários e à utilização de dados anónimos sempre que possível, diz Smith.

Alguns dos riscos da automação podem vir da incapacidade de escalar rapidamente ou corresponder às expectativas.

“O ecossistema de automação está a sofrer mudanças significativas neste momento”, diz O Ehsan de Cervello. “Olhando para trás, tudo começou com processos de outsourcing, depois otimização de processos – Lean, Six Sigma – para a RPA. O que estamos a ver agora é uma convergência de RPA e IA para resolver problemas de negócio complexos.”

Esta congruência de IA e RPA está a abrir novas possibilidades e a utilizar casos que não eram possíveis no passado, diz Ehsan, como o processamento inteligente de documentos com uma capacidade de 175 mil milhões de parâmetros de aprendizagem automática ou a utilização de redes neurais e aprendizagem profunda para detetar anomalias nas transações.

As organizações devem definir as expectativas de automação desde o início e envolver os stakeholders de negócios e TI para criar consciência dos potenciais benefícios, funcionalidades e usos da automação, diz Ehsan. Em seguida, devem apresentar pilotos rápidos, pequenos e de curto prazo que se concentrem nos benefícios.

“Branquear recursos altamente qualificados desde o início, contratando colaboradores ou consultores para pôr em prática a governação, estruturas, gestão de mudanças e comunicação, modelos, envolvimento de negócios, formação de casos de negócios e cálculo ROI”, diz ehsan.

Mitigação de riscos digitais em ação

Com qualquer iniciativa de transformação digital, as organizações devem avaliar plenamente os riscos – incluindo os associados às plataformas tecnológicas que utilizarão – através da colaboração entre TI, segurança, gestão de riscos, jurídico e outras partes interessadas. Ao determinar quais são os maiores riscos, os líderes de TI e de segurança podem abordar iniciativas de transformação com essa perspetiva em mente.

A Park Industries, fornecedora de sistemas de fabrico, tem vários esforços de transformação digital em curso, incluindo automação de processos de negócios, integração de sistemas empresariais, migrações na computação em nuvem e análise de dados relacionada com IoT.

“A segurança da informação e a qualidade dos dados são dois dos maiores riscos ao lidar com estas iniciativas de transformação”, disse David Lloyd, Diretor de TI das Indústrias Park. “Ter uma estratégia geral de dados que inclua segurança, privilégios baseados em papéis, bem como identificar fontes do mundo real ajuda a mitigar esses riscos.”

A maioria das organizações reconhece que alavancar a comutação em nuvem, IA, IoT e outras tecnologias pode proporcionar benefícios substanciais, tais como o aumento da agilidade do negócio, o aumento da escalabilidade do serviço e a redução do custo, diz Smith. “No entanto, devem ser implementadas técnicas inteiramente novas de gestão de riscos para apoiar estas capacidades transformadoras”, diz.

Artigos relacionados

O seu comentário...

*

Top