*Por Álvaro Luiz Massad Martins
Após um primeiro olhar para entender onde a organização se encontra no que diz respeito ao uso de tecnologia, qual o seu nível de informatização e qual a sua capacidade de gerenciar as questões de segurança da informação, abordados no artigo anterior, vamos agora aprofundar um pouco mais a análise.
Relembrando que mesmo empresas muito maduras no assunto, não conseguem garantir 100% de segurança, e que segurança cibernética depende de três pilares: ferramentas tecnológicas, processos/procedimentos, e educação digital.
Um primeiro equívoco comum, até mesmo entre especialistas da área de segurança da informação, é pensar que maturidade é apenas sobre processos/procedimentos, e que basta colocar foco nas normas e frameworks já bastante conhecidos que a questão da maturidade estará resolvida, ledo engano!
Para aprofundar um pouco mais nossa análise proponho levar em conta dois modelos seminais muito interessantes, o primeiro deles apresentado em 1979 pelo pesquisador e professor da Harvard Business School, Richard L. Nolan, que aborda o tema maturidade no uso de TI; e o segundo do pesquisador e também professor da Harvard Business School, F. Warren McFarlan, que em seu modelo apresentado em 1984 aborda os diferentes papeis que TI pode desempenhar no negócio.
Quatro dimensões
Em 1979 Nolan nos apresentou o resultado de uma pesquisa bastante abrangente realizada por ele, onde percebeu que existiam alguns comportamentos semelhantes de algumas empresas no que diz respeito a quatro dimensões:
Carteira de aplicações – quais eram as os projetos que tinham em desenvolvimento na área de TI da empresa;
Organização de processamento de dados – buscando entender como era organizada a área de TI da empresa;
Planejamento e controle de processamento de dados – como se dá o planejamento e o controle da área de TI da empresa;
Conhecimento do usuário – qual é o nível de conhecimento de TI dos funcionários da empresa.
Nolan olhou para estas quatro dimensões em várias empresas e percebeu que tinham comportamentos diferentes em cada uma, o que permitiu que ele criasse níveis, que chamou de estágios de crescimento, apresentando uma primeira versão da pesquisa em 1979 com quatro estágios, e um pouquinho mais à frente, em 1982, ele melhorou o modelo e chegou à sua versão final em que propõe seis estágios (iniciação, contágio, controle, integração, administração e maturidade).
Gastos e maturidade
Ao analisarmos este modelo percebemos que existem níveis de maturidade diferentes na gestão de TI, e identificamos uma profunda correlação entre gastos e nível de maturidade em TI, lembrando que maturidade não tem relação somente com tempo, mas sobremaneira com aprendizado; e a empresa somente irá aprender a usar TI se efetivamente usá-la, ou seja, significa que para se conquistar maturidade é necessário gastar com TI.
Mas percebam que só gastar não é suficiente, a empresa precisa também estar aprendendo, e este é um aspecto que o modelo do Nolan nos traz, apontando em detalhe quais são as características de uma empresa que tem baixa maturidade. Se olharmos, por exemplo, empresas com baixa maturidade no uso de TI encontraremos as seguintes características: a carteira de aplicações conta exclusivamente com projetos relacionados a redução de custos; a organização da área de TI leva em conta aspectos meramente técnicos; o planejamento e controle da área é frouxo, ou seja, no máximo apresenta um planejamento orçamentário; e o conhecimento do usuário na empresa como um todo é mínimo.
Enquanto empresas com alta maturidade na gestão de TI devem apresentar as seguintes características: os projetos existentes todos são relacionados com um fluxo de informação e comunicação; a organização da área de TI é muito mais estratégica fazendo gestão de dados; o planejamento e controle da área é de fato estratégico, alinhado com as áreas de negócios; e o conhecimento do usuário como um todo é muito maior.
Uma primeira aplicação prática deste modelo é nos ajudar a entender onde se situa alguma empresa que queiramos analisar, se com maior ou menor maturidade no uso de TI. Se a empresa tem baixo nível de maturidade não podemos esperar que ela consiga usufruir muitos benefícios do uso de TI, pois para conseguir usufruir os benefícios do uso de TI ela tem que ter maturidade, e da mesma forma não podemos esperar que empresas com baixa maturidade apresentem grande capacidade para fazer gestão de cibersegurança, por mais que tentem se adequar às normas e frameworks de mercado.
O modelo de Nolan nos sugere ainda o que a empresa deveria buscar para atingir os níveis mais elevados de maturidade e assim conseguir melhorar a sua competitividade, bem como melhorar a sua capacidade de cuidar da cibersegurança.
Quadrante
O segundo modelo que apresento é o proposto por McFarlan em1984, que nos permite visualizar como a TI está relacionada à estratégia e à operação do negócio da empresa. Tal modelo analisa o impacto das aplicações de TI presentes e futuras no negócio, definindo quatro “quadrantes” que representam a situação para a empresa, com as seguintes definições:
Suporte – A TI tem pequena influência nas estratégias atual e futura da empresa. Não há necessidade de posicionamento de destaque da área de TI na hierarquia da empresa.
Fábrica – As aplicações de TI existentes contribuem decisivamente para o sucesso da empresa, mas não estão previstas novas aplicações que tenham impacto estratégico. A área de TI deve estar posicionada em alto nível hierárquico.
Transição – A TI passa de uma situação mais discreta (quadrante “suporte”) para uma de maior destaque na estratégia da empresa. A área de TI tende para uma posição de maior importância na hierarquia da empresa.
Estratégico – A TI tem grande influência na estratégia geral da empresa. Tanto as aplicações atuais como as futuras são estratégicas, afetando o negócio da empresa. Neste caso, é importante que a TI esteja posicionada em alto nível de sua estrutura hierárquica.
Neste modelo McFarlan nos apresenta outro aspecto muito importante para entendermos a gestão de TI nas empresas, qual o papel que TI desempenha no negócio, e para tanto ele olha para dois momentos distintos: ao citar o impacto estratégico dos sistemas operacionais existentes está se referindo ao presente, enquanto impacto estratégico da carteira de aplicações em desenvolvimento se refere ao futuro.
Com estas lentes McFarlan pesquisou diversas empresas e percebeu a existência de comportamentos semelhantes entre elas, para algumas empresas o impacto estratégico da TI no presente é baixo e o impacto estratégico da TI no futuro também é baixo, ele classificou a posição de TI como papel de suporte. Já no outro extremo existem empresas onde o impacto estratégico da TI no presente é alto, assim como o impacto estratégico da TI no futuro é alto, posição que ele classificou como papel estratégico.
Interessante observar que a teoria proposta por McFarlan leva em conta em grande medida a teoria proposta por Nolan, nos permitindo chegar a algumas conclusões fundamentais para um bom entendimento da gestão de TI, e consequente capacidade para tratar de assuntos relacionados a cibresegurança.
Assim, podemos perceber claramente a seguinte relação: empresas que têm baixa maturidade normalmente gastam pouco com TI, e enxergam TI como suporte, onde TI é visto apenas como custo; e neste cenário dificilmente a empresa terá as capacidades necessárias para tratar de assuntos relacionados a cibersegurança, cometendo muitas vezes o erro clássico de comprar ferramentas tecnológicas sem saber ao certo como utilizá-las, lembre-se, sempre olhando TI como custo, portanto ao comprar tecnologia estará se baseando em preço. E, para completar o cenário, também direcionará esforços no sentido de estar “compliance” com as normas e frameworks de mercado, o que, por si só, não trará efetividade na busca por melhor segurança.
Entretanto, à medida que a empresa vai conquistando maturidade na gestão de TI, vai também gastando cada vez mais com TI, e o papel que TI desempenha no negócio também vai mudando, deixando de ser visto como suporte e passando a ter um papel estratégico no negócio; neste momento é de se esperar que também aumente muito a chance de tratar dos assuntos relacionados a cibersegurança de maneira adequada, ou seja, integrando os três pilares: ferramentas tecnológicas, processos/procedimentos, e educação digital.
E, na sua visão, como está o nível de maturidade em gestão de TI na sua organização? Sua organização trata de modo integrado os três pilares que compõe a cibersegurança?
*Álvaro Luiz Massad Martins é professor nos cursos de MBA e Pós-MBA da FGV, e coordenador acadêmico da Formação Executiva em Cibersegurança. Martins é doutor e mestre em Administração de Empresas pela EAESP – Fundação Getulio Vargas- SP, onde também se graduou em Administração de Empresas. Tem mais de 30 anos de experiência no segmento de Tecnologia da Informação, tendo atuado em posições de direção em empresas como: American Express, Xerox do Brasil, Embratel, Diveo, Intelbras, Mandriva e Alcatel-Lucent. Atualmente, é Diretor Executivo da IT by Insight, empresa de consultoria na área de TI, que tem por missão ajudar as empresas na jornada em busca da Aceleração Digital, com especial foco em questões ligadas à cibersegurança; além de atuar como professor nos cursos de MBA e Pós-MBA da FGV, e coordenador acadêmico da Formação Executiva em Cibersegurança. Mais informações: https://www.linkedin.com/in/alvaromartins/
Este conteúdo é de total responsabilidade do autor, não representando, necessariamente, a opinião do Hub Cybertech Brasil.
1 Comentário