Por que os Mainframes Ainda São Importantes na Era Digital dos Bancos – Entrevista com Jennifer Nelson

Jennifer Nelson é CEO da izzi Software.

Descubra as principais notícias e eventos do setor fintech!

Subscreva a newsletter do FinTech Weekly

Lida por executivos do JP Morgan, Coinbase, Blackrock, Klarna e mais

Numa indústria obcecada pela mais recente onda de tecnologia, é fácil esquecer que alguns dos pilares mais sólidos da infraestrutura financeira permanecem de pé há décadas. Enquanto a inovação em fintech é frequentemente apresentada como uma corrida rumo ao futuro, a espinha dorsal do sistema bancário global mantém-se silenciosamente ancorada em sistemas que muitos erroneamente consideram relíquias: os mainframes.

Isto não é apenas uma questão de nostalgia ou inércia corporativa. Os mainframes ainda processam a maior parte das transações financeiras mundiais, com uma fiabilidade e escala incomparáveis por muitas plataformas mais recentes. A sua capacidade de lidar com volumes vastos de dados em tempo real, sem comprometer a segurança, tornou-os indispensáveis num sistema financeiro que depende tanto da velocidade quanto da confiança.

No entanto, apesar do seu papel crítico, os mainframes são muitas vezes mal compreendidos. No contexto atual, onde “nuvem em primeiro lugar” é o mantra padrão, pode parecer contraintuitivo defender tecnologias mais antigas. Mas chamar o mainframe de sistema legado simplifica demasiado uma verdade muito mais complexa. Para entender porquê, é preciso analisar o equilíbrio entre sistemas tradicionais e a modernização para infraestruturas híbridas.

O Caso da Modernização com Cautela

As instituições financeiras enfrentam uma pressão constante para modernizar. Investidores, clientes e reguladores esperam serviços digitais integrados, segurança reforçada e desempenho cada vez mais rápido. Para muitos líderes, a tentação é perseguir a mudança de forma agressiva — abandonar sistemas antigos e migrar em massa para a nuvem.

Mas a modernização não é apenas um projeto técnico. É uma iniciativa estratégica que carrega riscos se for feita de forma precipitada. Dados que há décadas vivem de forma segura num ambiente de mainframe tornam-se expostos no momento em que são transferidos para outro local. Aplicações otimizadas para mainframe podem falhar na migração, resultando em problemas de latência dispendiosos. Estes riscos não são meramente hipotéticos — ameaçam operações diárias, conformidade regulatória e até a confiança do consumidor.

A lição é clara: a verdadeira modernização não consiste em eliminar o antigo em favor do novo. Trata-se de integrar pontos fortes, fazer atualizações de forma faseada e garantir que o próximo passo não destabilize o que já funciona.

Uma Lacuna de Competências com Consequências Reais

A tecnologia evolui mais rápido do que a expertise necessária para a manter. Não há lugar onde isso seja mais evidente do que no espaço dos mainframes. Durante anos, bancos e instituições financeiras confiaram numa equipa de engenheiros com conhecimento profundo dos sistemas IBM Z e plataformas relacionadas. À medida que esses especialistas se aposentam, a próxima geração ainda não substituiu completamente as suas competências.

Isto cria um desafio sério. Uma equipa com conhecimentos superficiais aumenta o risco de erros dispendiosos, mesmo com proteções em vigor. A resiliência dos mainframes não consegue compensar totalmente o fator humano. Até que novos engenheiros sejam treinados e orientados, os bancos enfrentarão vulnerabilidades não por causa da tecnologia em si, mas devido à diminuição do número de profissionais capazes de operá-la com segurança.

Segurança Continua a Ser Sobre as Pessoas

Quando se discute cibersegurança, grande parte do foco recai sobre ferramentas e defesas. No entanto, muitas vezes, as verdadeiras fraquezas vêm do comportamento humano. No mundo dos mainframes, isso frequentemente se resume a como as permissões são concedidas, geridas e revogadas.

Desenvolvedores que não compreendem totalmente as implicações de permissões elevadas podem deixar portas abertas, não por malícia, mas por formação incompleta ou conveniência. Empresas que não atualizam o acesso quando os funcionários mudam de funções podem expor dados sensíveis desnecessariamente. Mesmo com tecnologia sofisticada, os princípios básicos de higiene de segurança permanecem essenciais — e muitas vezes são negligenciados.

Apresentando Jennifer Nelson

Para contextualizar esses desafios e oportunidades, entrevistámos Jennifer Nelson, CEO da Izzi Software. Nelson construiu sua carreira em torno de sistemas mainframe, passando 15 anos na Rocket Software e cinco na BMC, antes de ampliar sua visão através de cargos de engenharia sénior fora do ecossistema IBM Z. Em 2024, fundou a Izzi Software, uma empresa dedicada a adquirir e expandir negócios de software baseados nas plataformas IBM Z e IBM Power.

A sua perspetiva — que abrange engenharia tradicional de mainframes e liderança em software moderno — faz dela uma voz rara na conversa atual sobre estratégia tecnológica no setor financeiro.

Aproveite a entrevista!

1. À medida que as fintechs avançam para uma abordagem “nuvem nativa”, você argumenta que o mainframe continua fundamental para a estabilidade do sistema bancário global. O que acha que a maioria dos inovadores entende mal sobre o papel de sistemas mais antigos hoje?

A primeira coisa que eles interpretam mal é chamar o mainframe de sistema legado; que, por terem sido lançados há mais de 60 anos, estão de alguma forma obsoletos. É como chamar o sistema operativo Windows de uma plataforma legado. Isso não corresponde à realidade. Os mainframes são mais relevantes hoje do que quando foram inventados.

Todos querem dados à velocidade da luz. Querem que os dados lhes sejam devolvidos assim que pressionam o botão, independentemente de onde esses dados estejam. E com razão, porque o consumidor final não saberia, nem deveria saber, as complexidades do seu pedido, como onde os dados estão. Mas só os mainframes podem oferecer o desempenho e a segurança num ambiente híbrido.

Mainframes podem ingerir dados de qualquer lugar, analisá-los e reportar de volta, com recomendações, melhor do que qualquer outra plataforma, e mais rápido. Mostre-me outro sistema que possa ingerir dados de toda uma rede global, analisá-los, detectar anomalias em tempo real e enviá-los de volta ao solicitante.

Quem conhece melhor os seus dados vence, porque os dados são tão valiosos quanto o capital em dinheiro. Quando os inovadores descartam os mainframes como sistemas legado, estão a desvalorizar a sua velocidade, potência e capacidade de processar grandes quantidades de dados na velocidade necessária para deteção de riscos em tempo real.

As pessoas pensam que a nuvem foi revolucionária e moderna, e que os mainframes estão desatualizados em comparação. O conceito de computação em nuvem através de uma rede é de facto moderno e revolucionário para muitos. Mas, se conhece a tecnologia mainframe, perceberá que ela possui muitas das mesmas características da nuvem. Por exemplo, ao fazer login no mainframe, está a aceder ao TSO, abreviação de “time sharing option”. Tem a sua própria sessão TSO, ou uma “instância” do Microsoft Teams.

Todos usam os mesmos processadores no mainframe. Mas, quando não estão a executar um programa ou trabalho em lote, a capacidade é disponibilizada a quem precisa dela. Também faz login numa LPAR, ou partição lógica, com armazenamento, segurança e privacidade dedicados. Os utilizadores numa LPAR não podem aceder a dados noutra LPAR, a menos que especificamente configurado. Essa é a essência da nuvem: partilhar recursos quando não estão a ser utilizados, e proteger os dados dedicados à sua instância. Mas o mainframe já usa esses conceitos há anos.

2. Infraestrutura híbrida — misturando mainframes com camadas de nuvem mais recentes — está a tornar-se a norma. Com base na sua experiência, quais são os riscos reais que surgem quando as organizações tentam modernizar demasiado rápido ou de forma superficial?

Dos vários riscos, posso resumir em dois.

O primeiro risco é o consumo de dados. Os dados num mainframe são alguns dos mais seguros que existem. Quando os retira do mainframe ou os torna visíveis a alguém que os ingere, há um risco para a privacidade e a conformidade regulatória. Quem os está a ver? Para onde vão quando saem do mainframe?

O segundo risco está na otimização das aplicações para funcionar num ambiente híbrido. Aplicações otimizadas para mainframe podem acabar a correr de forma sub-ótima noutro servidor. Problemas de latência e desempenho podem prejudicar a produtividade.

3. Você alertou para uma lacuna de competências em expertise de mainframe. Quão grave é o risco institucional quando menos engenheiros sabem como operar e proteger os sistemas dos quais as instituições financeiras ainda dependem?

O risco é grave. Novos desenvolvedores — não apenas mais jovens, mas aqueles que estão a entrar na indústria — irão aprender e desenvolver as suas competências. Mas, até que a próxima geração esteja ao nível, as instituições financeiras terão uma exposição por algum tempo, devido ao conhecimento institucional que não é tão profundo quanto deveria ser.

Profissionais com experiência superficial ou conhecimentos limitados podem, inadvertidamente, causar riscos aos dados ou ao sistema operativo. Estes sistemas são resilientes e têm várias camadas de proteção contra erros humanos, mas ainda há um risco considerável até que as competências estejam ao nível necessário. Os bancos já enfrentam essa lacuna de competências atualmente.

4. As conversas sobre segurança focam frequentemente em ferramentas, mas você aponta que as pessoas continuam a ser a linha de frente. Quais os pontos cegos operacionais que mais frequentemente surgem na gestão de ambientes mainframe?

A gestão de ambientes relevantes geralmente centra-se em permissões elevadas. Quando um engenheiro de software escreve código, por vezes precisa de permissões elevadas para fazer algo específico no sistema operativo, permitindo que o programa execute tarefas mais sensíveis. Se o engenheiro não compreender bem as melhores práticas ao escrever software, pode não saber quando entrar ou sair desse estado autorizado elevado. Esse estado aumenta o risco, por isso os engenheiros não devem permanecer nele por muito tempo, para entenderem as melhores práticas ao desenvolver para esse sistema.

Existem também algumas práticas básicas de segurança que devem ser seguidas em qualquer rede de TI. Quando se concede autorização especial a alguém numa determinada função, é necessário um processo claro para remover essa autorização quando a pessoa muda de cargo, garantindo que o acesso seja revogado. Muitas vezes, isso não é um problema, se a pessoa ainda for empregada na empresa ou não for uma má atriz. Mas há sempre risco de deixar demasiados dados sensíveis acessíveis a pessoas que já não precisam deles.

Além disso, conjuntos de dados a nível de sistema mainframe permitem aos utilizadores realizar ações fundamentais no sistema. Só certos utilizadores devem ter acesso a essas funções. Por exemplo, alguns controlos de segurança só podem ser ativados ou desativados em níveis mais profundos do sistema operativo. Surpreende-me a frequência com que as empresas deixam princípios básicos de segurança por verificar. Existem formas de os engenheiros fazerem o seu trabalho sem acesso a esses recursos de nível root, mas é mais fácil trabalhar com esse nível de acesso, pelo que muitas empresas deixam a porta aberta mais do que deviam.

A maioria dos funcionários pode ser confiável, mas estes são princípios fundamentais que algumas instituições financeiras deixam de lado e esquecem.

5. Os ataques de ransomware estão a visar não apenas endpoints, mas infraestruturas centrais. O que torna os sistemas legados particularmente vulneráveis — e, em alguns casos, mais resilientes — do que plataformas mais recentes?

Os mainframes têm camadas de segurança integradas que a maioria dos servidores simplesmente não possui. Só porque consegue fazer login no mainframe, não significa que tem acesso aos dados críticos de negócio, que é o que o ransomware normalmente bloqueia. É preciso saber onde estão os dados e como acessá-los. Além disso, os dados podem estar segmentados, de modo que um invasor só tenha acesso a uma parte, e não a tudo o que precisa para um ataque de ransomware bem-sucedido. E, se não tiver acesso ao dispositivo de armazenamento, não consegue ver os dados nele contidos.

6. Com base na sua experiência, como é que uma modernização eficaz realmente se apresenta para instituições financeiras que não podem simplesmente “rasgar e substituir”, mas precisam de estar preparadas para o futuro?

Modernizar significa coisas diferentes para diferentes empresas, dependendo do estado das aplicações que utilizam. Seja B2B ou B2C, as empresas estão a modernizar continuamente, atualizando servidores e laptops.

O mesmo acontece com aplicações críticas para o negócio. Uma empresa pode atualizar essas aplicações periodicamente, mas, como as aplicações tradicionais de mainframe foram desenvolvidas há várias gerações, a melhor estratégia é avaliar completamente o que cada aplicação faz de ponta a ponta. Assim, podem fazer uma modernização faseada, em partes geríveis.

As empresas podem dividir uma aplicação em partes, atualizando e reescrevendo lentamente ao longo do tempo, de forma acessível. Se encarar a modernização como um processo contínuo, o desejo de melhorar e iterar torna-se constante.

Os líderes devem sempre adotar uma mentalidade proativa. As perguntas devem ser: “O que podemos fazer agora? O que podemos conter este ano? O que podemos conter nos próximos dois anos?” Essa abordagem é melhor do que “como podemos reescrever tudo isto?”

É preciso iterar nos sistemas e construí-los ao longo do tempo. Comece por reescrever uma funcionalidade de uma aplicação crítica, e depois adicione as restantes funcionalidades à medida que puder. Faça mudanças faseadas, pouco a pouco.

Rasgar e substituir é uma opção. Pode parecer radical e brutal, mas tudo o que realmente significa é deixar de usar um sistema para usar outro. Mas a liderança precisa de estar preparada para uma mudança grande de uma só vez, e aprovar o orçamento. A verdade é que, na prática, é mais uma questão de “substituir”, pois o processo pode levar anos a ser concluído.

7. Para os líderes tecnológicos que vêm de uma mentalidade “nuvem em primeiro lugar”, qual seria a mudança de pensamento mais importante ao lidar com sistemas mainframe críticos?

Aprender o que o mainframe realmente faz. O Juramento de Hipócrates diz para não causar dano, então é importante entender exatamente do que o mainframe é responsável, para evitar erros prejudiciais. Quando quem tem uma mentalidade “nuvem em primeiro lugar” compreende a totalidade das transações que entram no mainframe, a natureza dessas transações e quanto a receita da sua empresa depende delas, entenderá como evitar prejudicar o desempenho e a rentabilidade da sua empresa.

Sobre Jennifer Nelson

Jennifer Nelson passou a maior parte da sua carreira no espaço mainframe, incluindo 15 anos na Rocket Software e cinco na BMC. Em 2019, transitou para cargos de engenharia sénior em empresas globais de tecnologia fora do ecossistema Z Systems, ampliando a sua perspetiva e competências. No início de 2024, começou a preparar o terreno para o que viria a ser a Izzi Software, uma empresa focada na aquisição e crescimento de negócios de software construídos sobre as plataformas IBM Z e IBM Power.