Por que os mainframes ainda são importantes na era digital dos bancos – Entrevista com Jennifer Nelson

Jennifer Nelson é CEO da izzi Software.

Descubra as principais notícias e eventos do setor fintech!

Inscreva-se na newsletter do FinTech Weekly

Lida por executivos do JP Morgan, Coinbase, Blackrock, Klarna e mais

Numa indústria obcecada com a mais recente onda de tecnologia, é fácil esquecer que alguns dos pilares mais fortes na infraestrutura financeira permanecem há décadas. Enquanto a inovação fintech é frequentemente enquadrada como uma corrida rumo ao futuro, a espinha dorsal do sistema bancário global permanece silenciosamente ancorada em sistemas que muitos erroneamente descartam como relíquias: o mainframe.

Isto não é apenas uma questão de nostalgia ou inércia corporativa. Os mainframes ainda processam a maior parte das transações financeiras do mundo, com uma fiabilidade e escala incomparáveis por muitas plataformas mais recentes. A sua capacidade de lidar com volumes vastos de dados em tempo real, sem comprometer a segurança, tornou-os indispensáveis num sistema financeiro que depende tanto da velocidade quanto da confiança.

No entanto, por todo o seu papel crítico, os mainframes são muitas vezes mal compreendidos. No clima atual, onde “nuvem em primeiro lugar” é o mantra padrão, pode parecer contraintuitivo defender tecnologias mais antigas. Mas chamar o mainframe de sistema legado simplifica demasiado uma verdade muito mais complexa. Para entender porquê, precisamos examinar o equilíbrio entre sistemas herdados e a modernização híbrida.

O Caso da Modernização com Cautela

As instituições financeiras estão sob uma pressão implacável para modernizar. Investidores, clientes e reguladores esperam serviços digitais perfeitos, segurança reforçada e desempenho cada vez mais rápido. Para muitos líderes, a tentação é perseguir a mudança de forma agressiva — abandonar sistemas antigos e migrar totalmente para a nuvem.

Mas a modernização não é apenas um projeto técnico. É uma iniciativa estratégica que carrega riscos quando feita de forma precipitada. Dados que estiveram seguros dentro de um ambiente de mainframe durante décadas tornam-se expostos no momento em que são transferidos para outro lugar. Aplicações otimizadas para o mainframe podem falhar na migração, resultando em problemas de latência dispendiosos. Esses riscos não são meramente hipotéticos — ameaçam operações diárias, conformidade regulatória e até a confiança do consumidor.

A lição é clara: a verdadeira modernização não consiste em arrancar o antigo para colocar o novo. Trata-se de integrar pontos fortes, fazer atualizações de forma faseada e garantir que o próximo passo não destabilize o que já funciona.

Uma Lacuna de Competências com Consequências Reais

A tecnologia evolui mais rápido do que a expertise necessária para a manter. Não há lugar mais evidente do que no espaço dos mainframes. Durante anos, bancos e instituições financeiras confiaram numa pool de engenheiros com profundo conhecimento institucional dos sistemas IBM Z e plataformas relacionadas. À medida que muitos desses especialistas se aposentam, a próxima geração ainda não substituiu completamente as suas competências.

Isto cria um desafio sério. Uma base de conhecimento superficial aumenta o risco de erros dispendiosos, mesmo com proteções em vigor. A resiliência dos mainframes não consegue compensar totalmente o fator humano. Até que novos engenheiros sejam treinados e orientados, os bancos enfrentarão vulnerabilidades não por causa da tecnologia em si, mas devido à diminuição do número de profissionais que sabem utilizá-la com segurança.

Segurança Ainda Depende das Pessoas

Quando surgem conversas sobre cibersegurança, grande parte do foco está nas ferramentas e defesas. No entanto, muitas vezes, as verdadeiras fraquezas vêm do comportamento humano. No mundo dos mainframes, isto muitas vezes resume-se a como as permissões são concedidas, geridas e revogadas.

Desenvolvedores que não compreendem totalmente as implicações de permissões elevadas podem deixar portas abertas, não por malícia, mas por formação incompleta ou conveniência. Empresas que não atualizam o acesso quando os funcionários mudam de funções podem expor dados sensíveis desnecessariamente. Mesmo com tecnologia sofisticada, os princípios básicos de higiene de segurança permanecem essenciais — e muitas vezes são negligenciados.

Apresentando Jennifer Nelson

Para contextualizar esses desafios e oportunidades, recorremos a Jennifer Nelson, CEO da Izzi Software. Nelson construiu sua carreira em torno de sistemas mainframe, passando 15 anos na Rocket Software e cinco na BMC, antes de ampliar sua perspetiva através de cargos de engenharia sénior fora do ecossistema IBM Z. Em 2024, fundou a Izzi Software, uma empresa dedicada a adquirir e expandir negócios de software baseados nas plataformas IBM Z e IBM Power.

O seu ponto de vista — que abrange engenharia tradicional de mainframes e liderança em software moderno — faz dela uma voz rara na conversa atual sobre estratégia tecnológica em serviços financeiros.

Aproveite a entrevista!

1. Como o fintech, numa corrida pelo cloud-native, argumenta que o mainframe continua fundamental para a estabilidade bancária global. O que acha que a maioria dos inovadores entende mal sobre o papel de sistemas mais antigos hoje?

A primeira coisa que eles interpretam mal é chamar o mainframe de sistema legado; que, por terem sido lançados há mais de 60 anos, estão de alguma forma obsoletos. É como chamar o sistema operativo Windows de plataforma legado. Isso não corresponde à realidade. Os mainframes são mais relevantes hoje do que quando foram inventados.

Todos querem dados à velocidade da luz. Querem que os dados lhes sejam devolvidos assim que pressionam o botão, independentemente de onde esses dados estejam. E com razão, porque o consumidor final não saberia, e não deveria precisar saber, as complexidades do seu pedido, como onde os dados estão. Mas só os mainframes podem oferecer o desempenho e a segurança num ambiente híbrido.

Mainframes podem ingerir dados de qualquer lugar onde estejam, analisá-los e reportá-los de volta, com recomendações, melhor do que qualquer outra plataforma, e mais rápido. Mostre-me outro sistema que possa ingerir dados de toda uma rede global, analisá-los, detectar anomalias em tempo real e enviá-los de volta ao chamador.

Quem conhece melhor os seus dados vence, porque os dados são tão valiosos quanto o capital em dinheiro. Quando os inovadores descartam os mainframes como sistemas legado, estão a desconsiderar a sua velocidade, potência e capacidade de processar quantidades massivas de dados na velocidade necessária para deteção de risco em tempo real.

As pessoas pensam que a nuvem foi revolucionária e moderna, e que os mainframes estão desatualizados por comparação. O conceito de computação em nuvem através de uma rede é de fato moderno e revolucionário para muitos. Mas, se estiver familiarizado com tecnologia de mainframe, perceberá que ela possui muitas das mesmas características da nuvem. Por exemplo, ao fazer login no mainframe, está a aceder ao TSO, abreviação de “opção de partilha de tempo”. Tem a sua própria sessão TSO, ou instância do Microsoft Teams.

Todos usam os mesmos processadores no mainframe. Mas, quando não estão a executar um programa ou trabalho em lote, a capacidade é atribuída a quem dela necessita. Também faz login numa LPAR, ou partição lógica, com armazenamento, segurança e privacidade dedicados. Os utilizadores numa LPAR não podem aceder a dados noutra LPAR, a menos que especificamente configurado para isso. Isso é o núcleo da nuvem; partilhar recursos quando não estão a ser utilizados, e proteger dados dedicados à sua instância. Mas o mainframe já usa esses conceitos há anos.

2. Infraestrutura híbrida — misturando mainframes com camadas de nuvem mais recentes — está a tornar-se a norma. Com base na sua experiência, quais são os fatores de risco reais introduzidos quando as organizações tentam modernizar demasiado rápido ou de forma superficial?

Dos vários fatores de risco, posso resumir a dois.

O primeiro risco é o consumo de dados. Os dados num mainframe são alguns dos mais seguros em qualquer lugar. Quando os retira do mainframe ou os torna visíveis a alguém que os ingere, há um risco para a privacidade e regulamentação dos dados. Quem os está a ver? Para onde vão quando saem do mainframe?

O segundo risco está na otimização de aplicações para correr num ambiente híbrido. Aplicações otimizadas para o mainframe podem acabar a correr de forma sub-ótima noutro servidor. Problemas de latência e desempenho podem prejudicar a produtividade.

3. Você alertou para uma lacuna de competências em expertise de mainframe. Quão grave é o risco institucional quando menos engenheiros sabem como operar e proteger os sistemas dos quais as instituições financeiras ainda dependem?

O risco é grave. Novos desenvolvedores — não apenas mais jovens, mas aqueles que estão a entrar na indústria — irão aprender e desenvolver as suas competências. Mas, até a próxima geração alcançar o nível necessário, haverá uma exposição nas instituições financeiras, pois o conhecimento institucional não será tão profundo quanto devia ser.

Profissionais com experiência superficial ou conhecimento limitado podem, inadvertidamente, causar riscos aos dados ou ao sistema operativo. Estes sistemas são resilientes e têm várias camadas de proteção contra erro humano, mas ainda assim há um risco considerável até que as competências estejam ao nível adequado. Os bancos já enfrentam essa lacuna de competências atualmente.

4. As conversas sobre segurança muitas vezes focam em ferramentas, mas você apontou que as pessoas continuam a ser a linha de frente. Quais os pontos cegos operacionais que mais frequentemente surgem na gestão de ambientes de mainframe?

A gestão de ambientes relevantes geralmente centra-se em permissões elevadas. Quando um engenheiro de software escreve código, às vezes precisa de permissões elevadas para fazer algo específico no sistema operativo, onde pode habilitar o programa a fazer algo mais sensível. Se o engenheiro não compreender bem as melhores práticas ao escrever software, não saberá quando entrar ou sair desse estado autorizado elevado. Esse estado traz mais risco, por isso os engenheiros não permanecem nele tempo suficiente para entender completamente as melhores práticas ao desenvolver para esse sistema.

Existem também algumas práticas fundamentais de segurança a usar em qualquer rede de TI. Quando concede autorização especial a alguém numa determinada função, precisa de um processo claro para remover essa autorização quando essa pessoa muda de função, para garantir que o acesso seja revogado. Muitas vezes, isso não é um problema, se a pessoa ainda for empregada na empresa ou não for um ator malicioso. Mas há sempre um risco ao deixar demasiados dados sensíveis acessíveis a pessoas que já não precisam deles.

Além disso, conjuntos de dados a nível de sistema de mainframe permitem aos utilizadores fazerem operações fundamentais no sistema. Só certos utilizadores devem ter acesso a essas funções. Por exemplo, certos controlos de segurança só podem ser ativados nos níveis mais profundos do sistema operativo. Surpreende-me como muitas empresas deixam princípios básicos de segurança por verificar. Existem formas de os engenheiros fazerem o seu trabalho sem acesso a esses recursos de nível root, mas é mais fácil trabalhar com esse nível de acesso, pelo que muitas empresas deixam a porta dos fundos aberta mais do que deviam.

A maioria dos funcionários pode ser confiável, mas estes são princípios fundamentais que algumas instituições financeiras deixam de lado e esquecem.

5. Ataques de ransomware não visam apenas endpoints, mas também infraestruturas centrais. O que torna os sistemas legados particularmente vulneráveis — e, em alguns casos, mais resilientes — do que plataformas mais recentes?

Os mainframes têm camadas de segurança integradas que a maioria dos servidores simplesmente não possui. Só porque consegue fazer login no mainframe, não significa que tem acesso aos dados críticos de negócio, que é o que o ransomware normalmente bloqueia. É preciso saber onde estão esses dados e como acessá-los. E os dados podem estar compartimentados, de modo que um invasor só tenha acesso a um segmento, e não a tudo o que precisa para um ataque de ransomware bem-sucedido. E, se não tiver acesso ao dispositivo de armazenamento, não consegue ver os dados nesse dispositivo.

6. Com base na sua experiência, como é que uma modernização eficaz realmente se apresenta para instituições financeiras que não podem simplesmente “rasgar e substituir”, mas precisam de estar preparadas para o futuro?

Modernizar significa coisas diferentes para empresas diferentes, dependendo do estado das aplicações que usam. Seja B2B ou B2C, as empresas estão a modernizar continuamente, atualizando servidores e laptops.

O mesmo acontece com aplicações críticas para o negócio. Uma empresa pode atualizar periodicamente essas aplicações, mas, como as aplicações tradicionais de mainframe foram desenvolvidas há gerações, a melhor estratégia é avaliar completamente o que cada aplicação faz de ponta a ponta. Assim, podem fazer uma modernização faseada, em partes geríveis.

As empresas podem dividir uma aplicação em partes, atualizando e reescrevendo lentamente ao longo do tempo, conforme o orçamento permita. Se encarar a modernização como um processo contínuo, o desejo de melhorar e iterar torna-se constante.

Os líderes devem sempre adotar uma mentalidade proativa. As perguntas devem ser: “O que podemos fazer agora? O que podemos conter este ano? O que podemos conter nos próximos dois anos?” Essa abordagem é melhor do que “como podemos reescrever tudo isto?”

Tem de iterar nos sistemas e construí-los ao longo do tempo. Comece por reescrever uma funcionalidade de uma aplicação crítica, depois adicione as restantes funcionalidades à medida que puder. Faça mudanças faseadas, pouco a pouco.

Rasgar e substituir é uma opção. Parece radical e brutal, mas tudo o que realmente significa é deixar de usar um sistema para usar outro. Mas a liderança precisa de estar disposta a uma mudança grande de uma só vez, e aprovar o orçamento. A verdade é que, na prática, é mais uma questão de “substituir”, porque pode levar anos a concluir o processo.

7. Para os líderes tecnológicos que vêm de uma mentalidade de prioridade à nuvem, qual seria a mudança mais importante no modo de pensar ao lidar com sistemas de mainframe críticos?

Aprender o que o mainframe realmente faz. O Juramento de Hipócrates diz para primeiro não fazer mal, então é preciso entender do que o mainframe é responsável para evitar erros prejudiciais. Quando quem tem uma mentalidade de prioridade à nuvem compreender a totalidade das transações que entram no mainframe, a natureza dessas transações, e quanto a receita da sua empresa depende delas, irão entender e saber como evitar prejudicar o desempenho e a rentabilidade da sua empresa.

Sobre Jennifer Nelson

Jennifer Nelson passou a maior parte da sua carreira no espaço dos mainframes, incluindo 15 anos na Rocket Software e cinco na BMC. Em 2019, passou a desempenhar cargos de engenharia sénior em empresas globais de tecnologia fora do ecossistema Z Systems, ampliando a sua perspetiva e competências. No início de 2024, começou a preparar o terreno para o que viria a ser a Izzi Software, uma empresa focada na aquisição e crescimento de negócios de software construídos sobre as plataformas IBM Z e IBM Power.