Porque os Mainframes Ainda São Importantes na Era Digital dos Bancos – Entrevista com Jennifer Nelson

Jennifer Nelson é CEO da izzi Software.

Descubra as principais notícias e eventos do setor fintech!

Inscreva-se na newsletter do FinTech Weekly

Lida por executivos do JP Morgan, Coinbase, Blackrock, Klarna e mais

Numa indústria obcecada com a mais recente onda de tecnologia, é fácil esquecer que alguns dos pilares mais fortes na infraestrutura financeira permanecem há décadas. Enquanto a inovação fintech é frequentemente enquadrada como uma corrida rumo ao futuro, a espinha dorsal do sistema bancário global permanece silenciosamente ancorada em sistemas que muitos erroneamente descartam como relíquias: o mainframe.

Isto não é apenas uma questão de nostalgia ou inércia corporativa. Os mainframes ainda processam a maior parte das transações financeiras do mundo, com uma fiabilidade e escala incomparáveis por muitas plataformas mais recentes. A sua capacidade de lidar com volumes vastos de dados em tempo real, sem comprometer a segurança, tornou-os indispensáveis num sistema financeiro que depende tanto da velocidade quanto da confiança.

No entanto, por todo o seu papel crítico, os mainframes são muitas vezes mal compreendidos. No clima atual, onde “nuvem em primeiro lugar” é o mantra padrão, pode parecer contraintuitivo defender tecnologias mais antigas. Mas chamar o mainframe de sistema legado simplifica demasiado uma verdade muito mais complexa. Para entender porquê, precisamos examinar o equilíbrio entre sistemas herdados e a pressão moderna por infraestruturas híbridas.

O Caso da Modernização com Cautela

As instituições financeiras estão sob uma pressão implacável para modernizar. Investidores, clientes e reguladores esperam serviços digitais perfeitos, segurança reforçada e desempenho cada vez mais rápido. Para muitos líderes, a tentação é perseguir a mudança de forma agressiva — abandonar sistemas antigos e migrar em massa para a nuvem.

Mas a modernização não é simplesmente um projeto técnico. É uma iniciativa estratégica que carrega riscos quando feita de forma precipitada. Dados que há décadas vivem de forma segura num ambiente de mainframe tornam-se expostos no momento em que são transferidos para outro lugar. Aplicações otimizadas para o mainframe podem tropeçar na migração, resultando em problemas de latência dispendiosos. Esses riscos não são meramente hipotéticos — ameaçam operações diárias, conformidade regulatória e até a confiança do consumidor.

A lição é clara: a verdadeira modernização não consiste em arrancar o antigo para dar lugar ao novo. Trata-se de integrar pontos fortes, fazer fases de atualização cuidadosamente, e garantir que o próximo passo não destabilize o que já funciona.

Uma Lacuna de Competências com Consequências Reais

A tecnologia evolui mais rápido do que a expertise necessária para a manter. Não há lugar mais evidente para isso do que no espaço dos mainframes. Durante anos, bancos e instituições financeiras confiaram numa pool de engenheiros com profundo conhecimento institucional dos sistemas IBM Z e plataformas relacionadas. À medida que muitos desses especialistas se aposentam, a próxima geração ainda não substituiu completamente as suas competências.

Isto cria um desafio sério. Uma equipa de competências superficiais aumenta o risco de erros dispendiosos, mesmo quando há proteções em vigor. A resiliência dos mainframes não consegue compensar totalmente o fator humano. Até que novos engenheiros sejam treinados e orientados, os bancos enfrentarão vulnerabilidades não por causa da tecnologia em si, mas devido à diminuição do pool de profissionais que sabem usá-la com segurança.

Segurança Ainda Depende das Pessoas

Quando surgem conversas sobre cibersegurança, grande parte do foco está nas ferramentas e defesas. No entanto, muitas vezes, as verdadeiras fraquezas vêm do comportamento humano. No mundo dos mainframes, isto muitas vezes resume-se a como as permissões são concedidas, geridas e revogadas.

Desenvolvedores que não compreendem totalmente as implicações de permissões elevadas podem deixar portas abertas, não por malícia, mas por formação incompleta ou conveniência. Empresas que não atualizam o acesso quando os funcionários mudam de funções podem expor dados sensíveis desnecessariamente. Mesmo com tecnologia sofisticada, os princípios básicos de higiene de segurança permanecem essenciais — e muitas vezes são negligenciados.

Apresentando Jennifer Nelson

Para contextualizar estes desafios e oportunidades, recorremos a Jennifer Nelson, CEO da Izzi Software. Nelson construiu a sua carreira em torno de sistemas mainframe, passando 15 anos na Rocket Software e cinco na BMC, antes de ampliar a sua perspetiva através de cargos de engenharia sénior fora do ecossistema IBM Z. Em 2024, fundou a Izzi Software, uma empresa dedicada a adquirir e expandir negócios de software baseados nas plataformas IBM Z e IBM Power.

A sua perspetiva — que abrange engenharia tradicional de mainframes e liderança em software moderno — faz dela uma voz rara na conversa atual sobre estratégia tecnológica nos serviços financeiros.

Aproveite a entrevista!

1. Como a fintech, que corre em direção a tudo nativo na nuvem, argumenta que o mainframe continua crítico para a estabilidade bancária global. O que acha que a maioria dos inovadores entende mal sobre o papel de sistemas mais antigos hoje?

A primeira coisa que eles erram é chamar o mainframe de sistema legado; que, por terem sido lançados há mais de 60 anos, estão de alguma forma obsoletos. Isso é como chamar o sistema operativo Windows de uma plataforma legado. Não é a realidade. Os mainframes são mais relevantes hoje do que quando foram inventados.

Todos querem dados na velocidade da luz. Querem que os dados lhes sejam devolvidos assim que pressionam o botão, não importa onde esses dados estejam. E com razão, porque o consumidor final não saberia, e não deveria precisar saber, as complexidades do seu pedido, como onde os dados estão. Mas só os mainframes podem oferecer o desempenho e a segurança num ambiente híbrido.

Mainframes podem ingerir dados de qualquer lugar onde estejam, analisá-los e reportá-los de volta, com recomendações, melhor do que qualquer outra plataforma, e mais rápido. Mostre-me outro sistema que possa ingerir dados de toda uma rede global, analisá-los, detectar anomalias em tempo real, e enviá-los de volta ao chamador.

Quem conhece melhor os seus dados vence, porque os dados são tão preciosos quanto o capital em dinheiro. Quando os inovadores descartam os mainframes como sistemas legado, estão a descartar a sua velocidade, potência, e a capacidade de processar quantidades massivas de dados na velocidade necessária para deteção de risco em tempo real.

As pessoas pensam que a nuvem foi revolucionária e moderna, e que os mainframes estão desatualizados por comparação. O conceito de computação em nuvem através de uma rede é de fato moderno e revolucionário para muitos. Mas, se estiver familiarizado com tecnologia de mainframe, perceberá que ela tem muitas das mesmas características da nuvem. Por exemplo, ao fazer login no mainframe, está a fazer login no TSO, abreviação de “opção de partilha de tempo”. Tem a sua própria sessão TSO, ou instância do Microsoft Teams.

Todos usam os mesmos processadores no mainframe. Mas, quando não estão a executar um programa ou trabalho em lote, a capacidade é dada a quem precisa dela. Também faz login numa LPAR, ou partição lógica, completa com armazenamento dedicado, segurança e privacidade. Os utilizadores numa LPAR não podem aceder a dados noutra LPAR, a menos que especificamente configurado para isso. Isso é o que a nuvem é na sua essência; partilhar recursos quando não estão a ser utilizados, e proteger dados dedicados à sua instância. Mas o mainframe já usa esses conceitos há anos.

2. Infraestrutura híbrida — misturando mainframes com camadas de nuvem mais recentes — está a tornar-se a norma. Com base na sua experiência, quais são os fatores de risco reais introduzidos quando as organizações tentam modernizar demasiado rápido ou de forma superficial?

Dos múltiplos fatores de risco, posso resumir a dois.

O primeiro risco é o consumo de dados. Os dados num mainframe são alguns dos mais seguros em qualquer lugar. Quando os tira do mainframe ou os torna visíveis a alguém que os ingere, há um risco para a privacidade dos dados e para a regulamentação. Quem os está a ver? Para onde vão quando saem do mainframe?

O segundo risco está na otimização de aplicações para correr num ambiente híbrido. Aplicações otimizadas para o mainframe podem acabar a correr de forma sub-ótima noutro servidor. Problemas de latência e desempenho podem prejudicar a produtividade.

3. Tem alertado para uma lacuna de competências em expertise de mainframe. Quão grave é o risco institucional quando menos engenheiros sabem como operar e proteger os sistemas dos quais as instituições financeiras ainda dependem?

O risco é severo. Desenvolvedores mais novos — não apenas mais jovens, mas aqueles que estão a entrar na indústria — irão aprender e desenvolver as suas competências. Mas, até que a próxima geração esteja ao nível, haverá uma exposição nas instituições financeiras por algum tempo, quando o conhecimento institucional não for tão profundo quanto deveria.

Pessoas com uma experiência ou conhecimento superficial podem, inadvertidamente, causar riscos aos dados ou ao sistema operativo. Estes sistemas são resilientes e têm várias camadas de proteção contra erro humano, mas ainda há um risco considerável até que as competências estejam no nível necessário. Os bancos já enfrentam esta lacuna de competências hoje.

4. As conversas sobre segurança focam muitas vezes em ferramentas, mas você apontou que as pessoas continuam a ser a linha de frente. Quais os pontos cegos operacionais que mais frequentemente surgem na gestão de ambientes mainframe?

A gestão de ambientes relevantes geralmente centra-se em permissões elevadas. Quando um engenheiro de software escreve código, às vezes precisa de permissões elevadas para fazer algo específico no sistema operativo, onde pode habilitar o programa a fazer algo mais sensível. Se o engenheiro não entender completamente as melhores práticas ao escrever software, não saberá quando entrar ou sair desse estado autorizado elevado. Esse estado traz mais risco, por isso os engenheiros não permanecem nele tempo suficiente para compreender totalmente as melhores práticas ao desenvolver para esse sistema.

Existem também algumas práticas fundamentais de segurança a usar em qualquer rede de TI. Quando concede autorização especial a alguém numa determinada função, precisa de um processo claro para remover essa autorização quando essa pessoa muda de função, para garantir que o acesso seja revogado. Muitas vezes, isso não é um problema, se ainda for funcionário da empresa ou não for um ator malicioso. Mas há sempre um risco ao deixar demasiados dados sensíveis acessíveis a pessoas que já não precisam deles.

Além disso, conjuntos de dados a nível de sistema do mainframe permitem aos utilizadores fazerem coisas fundamentais ao sistema. Só certos utilizadores devem ter acesso a essas funções. Por exemplo, certos controlos de segurança só podem ser ativados nos níveis mais profundos do sistema operativo. Surpreende-me como muitas empresas deixam princípios básicos de segurança por verificar. Existem formas de os engenheiros fazerem o seu trabalho sem acesso a esses recursos de nível root, mas é mais fácil trabalhar com esse nível de acesso, pelo que as empresas deixam a porta dos fundos mais aberta do que deviam.

A maioria dos funcionários pode ser confiável, mas estes são princípios fundamentais que algumas instituições financeiras deixam abertos e esquecem-se deles.

5. Ataques de ransomware não visam apenas endpoints, mas também infraestruturas centrais. O que torna os sistemas legados particularmente vulneráveis — e, em alguns casos, mais resilientes — do que plataformas mais recentes?

Os mainframes têm camadas de segurança integradas que a maioria dos servidores simplesmente não possui. Só porque consegue fazer login no mainframe, não significa que tem acesso aos dados críticos de negócio, que é o que o ransomware normalmente bloqueia. Tem de saber onde estão os dados, e como acessá-los. E os dados podem estar compartimentados, de modo que um invasor só tenha acesso a um segmento dos dados, e não a tudo o que precisa para um ataque de ransomware bem-sucedido. E se não tiver acesso ao dispositivo de armazenamento, não consegue ver os dados nesse dispositivo.

6. Com base na sua experiência, como é que uma modernização eficaz realmente se apresenta para instituições financeiras que não podem simplesmente “rasgar e substituir”, mas precisam de estar preparadas para o futuro?

Modernização significa coisas diferentes em empresas diferentes, dependendo de onde estão com as aplicações que usam. Seja B2B ou B2C, as empresas estão a modernizar continuamente, atualizando servidores e laptops.

O mesmo acontece com aplicações críticas para o negócio. Uma empresa pode atualizar periodicamente essas aplicações, mas, como as aplicações tradicionais de mainframe foram desenvolvidas há gerações, a melhor coisa que podem fazer é avaliar completamente o que cada aplicação faz de ponta a ponta. Assim, podem fazer uma modernização faseada, em partes geríveis.

As empresas podem dividir uma aplicação em partes, atualizando e reescrevendo lentamente ao longo do tempo, de forma acessível. Se encarar a modernização como um processo contínuo, o desejo de melhorar e iterar torna-se constante.

Os líderes devem sempre ter uma mentalidade proativa. As perguntas devem ser: “O que podemos fazer agora? O que podemos conter este ano? O que podemos conter nos próximos dois anos?” Essa é uma abordagem melhor do que “como reescrever tudo isto?”

Tem de iterar nos sistemas e construí-los ao longo do tempo. Comece por reescrever uma funcionalidade de uma aplicação crítica, depois adicione as restantes funcionalidades à medida que puder. Faça fases de mudança pouco a pouco.

Rasgar e substituir é uma opção. Parece radical e brutal, mas tudo o que realmente significa é deixar de usar um sistema para usar outro. Mas a liderança precisa de ter coragem para uma mudança grande de uma só vez, e aprovar o orçamento. A verdade é que é mais uma questão de “substituir”, porque pode levar anos a concluir o procedimento.

7. Para os líderes tecnológicos que vêm de uma mentalidade de prioridade à nuvem, qual acha que é a mudança de pensamento mais importante ao lidar com sistemas de mainframe críticos?

Aprender o que o mainframe realmente faz. O Juramento de Hipócrates diz para primeiro não fazer mal, então aprenda o que o mainframe é responsável por fazer para evitar erros prejudiciais. Uma vez que quem tem uma mentalidade de prioridade à nuvem compreenda a totalidade do que as transações que entram no mainframe representam, a sua natureza, e quanto a receita da sua empresa depende dessas transações, eles entenderão e saberão como evitar prejudicar o desempenho e a rentabilidade da sua empresa.

Sobre Jennifer Nelson

Jennifer Nelson passou a maior parte da sua carreira no espaço dos mainframes, incluindo 15 anos na Rocket Software e cinco na BMC. Em 2019, transicionou para cargos de engenharia sénior em empresas globais de tecnologia fora do ecossistema Z Systems, ampliando a sua perspetiva e competências. No início de 2024, Nelson começou a preparar o terreno para o que viria a ser a Izzi Software, uma empresa focada em adquirir e expandir negócios de software construídos sobre as plataformas IBM Z e IBM Power.