7 Erros de governança de TI — e como evitá-los

A governança de TI pode ser um campo minado para os desprevenidos. Não deixe que esses erros comuns prejudiquem sua organização — e sua carreira.

1. Não acompanhar as prioridades de negócios em evolução

As práticas e prioridades de negócios mudam com frequência para acomodar tecnologias emergentes, expectativas dos clientes e demandas de entrega de produtos e serviços. “É fundamental que a governança mude em conjunto para permanecer alinhada e eficaz”, alerta Bales. “As organizações muitas vezes não reconhecem essa [necessidade] e raramente querem mudar a governança uma vez que esteja em vigor”.
A governança deve ser projetada com a adaptabilidade em mente para garantir que a TI permaneça alinhada com os objetivos de negócios, fornecendo valor continuamente e protegendo efetivamente a organização contra riscos potenciais, diz Bales. “A governança eficaz garante que os investimentos certos em tecnologia sejam feitos no momento certo para apoiar a mudança organizacional e permitir resultados de negócios bem-sucedidos”, acrescenta ela.

A governança deve fazer parte do DNA da sua organização – central para que ela seja exclusiva da sua organização, diz Bales. “Sua estrutura de governança deve ser dinâmica e [projetada para] identificar gatilhos que possam evocar uma revisão, e sua eficácia deve ser constantemente medida para que permaneça relevante”.

2. Planejamento de risco deficiente

Os CIOs frequentemente lançam iniciativas estratégicas sem considerar totalmente todos os riscos envolvidos. “Isso leva a adicionar a governança como uma reflexão tardia, em vez de usar uma metodologia de governança como parte integrante de um programa de gerenciamento de risco”, diz Scott Perry, Diretor de Serviços de Criptografia e Confiança Digital da Schellman, um avaliador global de segurança cibernética. “A essa altura, as estruturas de governança são apressadas e as medidas de mitigação de risco perdem sua eficácia”.

Com muita frequência, as iniciativas críticas são promovidas pelos CIOs sem entender completamente se o sistema será capaz de atingir seus objetivos estratégicos. “Isso pode criar riscos, como vulnerabilidades técnicas, restrições de tempo de atividade, continuidade inadequada e rejeição do cliente”, adverte Perry. Identificar adequadamente esses riscos no início do processo e abordá-los com um processo organizado de mitigação de riscos como parte de um programa geral de governança é essencial para o sucesso da iniciativa estratégica.

Perry sugere a instituição de um programa de supervisão que inclua avaliação de risco, requisitos de governança estabelecidos para mitigar riscos controláveis e programas de auditoria interna e externa para medir a eficácia da conformidade com os requisitos de governança. Ele também recomenda a realização de uma avaliação de risco residual para determinar quaisquer exposições de risco remanescentes, bem como um ciclo de feedback do programa.

Os CIOs frequentemente lançam iniciativas estratégicas sem considerar totalmente todos os riscos envolvidos. “Isso leva a adicionar a governança como uma reflexão tardia, em vez de usar uma metodologia de governança como parte integrante de um programa de gerenciamento de risco”, diz Scott Perry, Diretor de Serviços de Criptografia e Confiança Digital da Schellman, um avaliador global de segurança cibernética. “A essa altura, as estruturas de governança são apressadas e as medidas de mitigação de risco perdem sua eficácia”.

Com muita frequência, as iniciativas críticas são promovidas pelos CIOs sem entender completamente se o sistema será capaz de atingir seus objetivos estratégicos. “Isso pode criar riscos, como vulnerabilidades técnicas, restrições de tempo de atividade, continuidade inadequada e rejeição do cliente”, adverte Perry. Identificar adequadamente esses riscos no início do processo e abordá-los com um processo organizado de mitigação de riscos como parte de um programa geral de governança é essencial para o sucesso da iniciativa estratégica.

Perry sugere a instituição de um programa de supervisão que inclua avaliação de risco, requisitos de governança estabelecidos para mitigar riscos controláveis e programas de auditoria interna e externa para medir a eficácia da conformidade com os requisitos de governança. Ele também recomenda a realização de uma avaliação de risco residual para determinar quaisquer exposições de risco remanescentes, bem como um ciclo de feedback do programa.

3. Visibilidade operacional insuficiente

Embora a maioria dos CIOs já tenha criado um plano de governança completo e detalhado, muitos líderes de TI não têm a visibilidade operacional necessária para avaliar a aceitação e a prática de políticas e mandatos de governança específicos por sua organização. Embora muitos CIOs acreditem que todos os líderes empresariais tenham fácil acesso e compreendam as políticas de governança de TI, eles realmente não têm, diz Azadeh Dardras, Diretor do Edge Center of Excellence da empresa de consultoria de negócios e TI Capgemini Americas.

Em muitos casos, a organização de TI trabalha isoladamente, diz Dardras. “Se você não entender o contexto e os resultados de suas decisões de governança, sua política pode ter um efeito negativo nos negócios”, alerta ela. Se a governança de TI não alcançar e envolver todas as partes interessadas essenciais, principalmente os membros da equipe que trabalham nos segmentos de negócios da empresa, as principais decisões podem ser tomadas sem consideração total e adequada. “Isso pode afetar seriamente o trabalho das equipes afetadas e, em última análise, o negócio como um todo”, observa Dardras.

4. Falha ao alinhar totalmente a governança de TI com a governança corporativa

Os líderes de TI frequentemente se esforçam para concluir projetos o mais rápido possível para atender a uma necessidade comercial específica. “Ao fazer isso, eles podem não envolver adequadamente as equipes de governança de sua empresa, como jurídico, conformidade e gerenciamento de risco de informações”, adverte Brian Mannion, Diretor Jurídico e de Proteção de Dados da Aware, provedora de plataforma de gerenciamento de dados e insights.

Para evitar um possível desalinhamento de governança, os CIOs devem incentivar seus representantes de TI a fazerem parceria rotineira com seus colegas de governança corporativa. Em um nível tático, as equipes de TI e governança corporativa devem se informar regularmente sobre novas ferramentas, bem como recursos novos e aprimorados projetados para ferramentas existentes. As equipes também devem propor e coordenar possíveis soluções para os riscos identificados.

Um conjunto padrão de controles mínimos deve ser identificado e acordado, sugere Mannion. “Finalmente, as equipes de governança [empresarial] devem ter pessoal suficiente e focado em tecnologia para dar suporte à TI”, diz ele.

5. Usar métodos passados para medir o progresso futuro

Muitas empresas continuam a basear sua governança de TI em métricas de acordo de nível de serviço (SLA) de custo e desempenho. Infelizmente, essas métricas tendem a ser indicadores atrasados.

A governança de TI deve se concentrar nos principais indicadores e refletir os investimentos e gastos de amanhã, sugere Prashant Kelker, Parceiro de Estratégia e Soluções Digitais da empresa de consultoria e pesquisa tecnológica global ISG. Um indicador avançado é uma medida preditiva. Os principais indicadores incluem crescimento de receita, receita por cliente, margem de lucro, taxa de retenção de clientes e satisfação do cliente.

6. Tratar dados como um produto residual

Não é nenhum segredo que os dados se tornaram um ativo altamente valorizado. Para muitas empresas orientadas por informações, os dados são seu ativo mais valioso. Ainda assim, um número surpreendente de organizações continua a tratar os dados como se fossem nada mais do que um produto residual, alega Chethan Laxman, Executivo de Transformação Digital da Apexon, uma empresa de serviços profissionais de engenharia digital do Vale do Silício.
À medida que os dados orientam cada vez mais a tomada de decisões e as inovações digitais automatizam mais processos de negócios, o valor e a integridade dos dados se tornam mais importantes. “Todas as organizações, independentemente do tamanho ou setor, precisam deixar de ver os dados como um centro de custo inconveniente para um ativo confiável, acessível, seguro e utilizável”, diz Laxman. “Tendo investido em dados e analytics, os líderes de negócios e TI agora precisam garantir urgentemente uma boa governança para atingir suas metas de eficiência operacional, maior crescimento e melhor experiência do cliente”.

7. Negligenciar ameaças internas

O ambiente de trabalho remoto/híbrido — combinado com a rotatividade recorde de funcionários — tornou as ameaças internas um grande risco para organizações de todos os tipos e tamanhos.

Embora todos os tipos de ameaças internas sejam potencialmente prejudiciais, trabalhadores mal-intencionados e agentes internos em parceria com invasores externos podem ser particularmente prejudiciais. “Na verdade, as empresas gastam uma média de US$ 644.852 em cada incidente interno”, observa Kris Lahiri, CSO da provedora de plataforma de segurança e governança de conteúdo Egnyte.

Lahiri sugere uma abordagem holística para a governança de TI que inclui priorizar a segurança de dados, implementar as melhores práticas de segurança de rede e maximizar a educação cibernética do usuário. Ele diz que também é importante ter uma visibilidade profunda dos dados estruturados e não estruturados para criar um programa de governança de conteúdo eficaz. “Se você não pode ver os dados, não pode governá-los adequadamente”, diz Lahiri.

Lahiri também recomenda centralizar as visualizações de dados para entender qual conteúdo está sendo acessado e por quem. “Isso permitirá que a organização detecte atividades maliciosas, reconhecendo o comportamento e os padrões comuns do usuário”.

John Edwards, CIO

https://itforum.com.br/noticias/7-erros-de-governanca-de-ti-e-como-...

Para participar de nossa Rede Têxtil e do Vestuário - CLIQUE AQUI