Desbravando a governança de TI no mundo da IA
No universo corporativo atual, as discussões sobre ESG estão cada vez mais presentes nas reuniões dos conselhos das grandes empresas. Segundo estudo da KPMG, 86% das empresas informam sobre aspectos ESG e 76% das empresas incluem essas práticas em suas estratégias de negócios. Porém, quão maduros estamos em relação a essas iniciativas e quais são os maiores desafios que enfrentamos desde 2010?
A governança de TI é uma estrutura essencial, composta por diversos processos que visam controlar e gerenciar riscos em tecnologia, além de melhorar o tempo de resposta diante de incidentes. Afinal, o risco sempre está presente nas discussões relacionadas à TI.
No esforço de minimizar riscos, estabelecemos processos fundamentais, como gestão de mudanças, monitoramento, resposta a incidentes, gestão do conhecimento e controle de acesso. Além disso, adotamos premissas de cibersegurança, como políticas de desenvolvimento seguro, restrições de acesso e uma estrutura de aprovações sólida. Vale ressaltar a importância de uma estrutura de testes bem elaborada e uma gestão eficaz do conhecimento. Essas práticas eliminam papéis-chave, evitando a centralização do conhecimento ou, pior ainda, limitações na escolha de tecnologias.
Infelizmente, temos presenciado inúmeros casos de empresas que ficam presas a tecnologias ultrapassadas ou a gestores técnicos que detêm todo o conhecimento, o que impede a evolução de suas infraestruturas. Além disso, práticas inadequadas em relação a conceitos básicos, como Clean Code e modularização de sistemas, são bastante evidentes e críticas.
Mas ter um produto funcional e lucrativo nem sempre é garantia de sucesso, especialmente quando está fundamentado em segredos de um único líder técnico ou em tecnologias obsoletas. Isso limita sua vida útil a apenas dois ou três anos. Devemos reconhecer que a tecnologia está em constante evolução, abrindo caminho para novos paradigmas. No entanto, como podemos evitar impactos negativos?
Aqui estão algumas práticas essenciais para garantir a continuidade do seu negócio no médio e longo prazo:
- Invista em uma gestão de conhecimento eficiente, documentando histórias técnicas e funcionais;
- Utilize critérios como DoD (Definição de Concluído) e DoR (Definição de Pronto) para guiar o desenvolvimento;
- No âmbito técnico, aplique o princípio da Responsabilidade Única (SRP), permitindo pequenas evoluções funcionais e mantendo o sistema vivo;
- Siga os princípios de Clean Code;
- Estabeleça uma esteira de deploy com aprovações de arquitetura e qualidade;
- Escreva cenários de testes, lembrando que eles não se limitam apenas aos testes automatizados, pois estes podem ser facilmente manipulados;
- Priorize a análise e criação de logs úteis como parte da governança, facilitando a implementação de boas práticas de NOC (Centro de Operações de Rede) e garantindo uma base sólida para SOC (Centro de Operações de Segurança) e SIEM (Gerenciamento de Eventos e Informações de Segurança);
- Desenvolva uma política de sanidade de dados para evitar a geração excessiva de logs, o que pode se tornar um fardo financeiro em ambientes de nuvem;
- Tome cuidado com a segregação de acessos e evite o registro deliberado de dados sensíveis nos logs, pois incidentes de fraude podem ocorrer por meio da leitura dessas informações;
- Priorize o uso de SaaS (Software como Serviço), em vez de criar soluções autônomas de DaS (Desenvolvimento como Serviço) em ambientes de nuvem, evitando assim responsabilidades desnecessárias.
Esses são apenas alguns dos muitos pontos a serem considerados. Com uma abordagem mais detalhada, podemos expandir essa lista, explorando oportunidades no próprio processo de gestão e considerando a adesão a modelos como COBIT (Control Objectives for Information and related Technology), por exemplo.
Agora, reflita: se mesmo após anos de experiência em desenvolvimento tradicional ainda enfrentamos desafios e riscos, não seria prepotência acreditar que estamos completamente seguros ao lidar com os novos paradigmas da Inteligência Artificial?
Por isso, compartilho uma lista de cuidados fundamentais ao desenvolver soluções de IA, visando minimizar riscos:
- Desenvolva um mapeamento de acessos para cada funcionalidade, considerando que a IA aprende e cruza dados com base em uma única credencial;
- Mantenha a segregação das chaves de APIs para clientes que utilizam SaaS;
- Crie um Core para pré-processar os dados e filtrar respostas enganosas da IA, já que ela pode “alucinar” e fornecer informações incorretas;
- Lembre-se de que as decisões finais ainda são de sua responsabilidade. Mesmo com o aprendizado de máquina, imprevistos podem ocorrer. Por isso, registre perguntas e respostas nos logs para fins de auditoria;
- Menos é mais. Minimize a autonomia da IA, estabelecendo regras de proteção por meio de prompts antes de delegar qualquer resposta;
- Desenvolva um plano de testes dividido em duas frentes: operação e risco. Assim, garantimos uma cobertura abrangente;
- Entenda que um novo paradigma de bugs está por vir, e não sabemos quase nada sobre eles.
É irônico perceber que estamos transferindo a responsabilidade de comunicação de nossa empresa para uma estrutura computacional suscetível a erros. No entanto, ainda somos responsáveis pelas respostas geradas.
Investir em uma gestão de conhecimento eficiente, seguir boas práticas de desenvolvimento e adotar soluções adequadas na nuvem são fatores-chave para o sucesso de projetos de desenvolvimento de software. Ao implementar essas estratégias, as empresas estarão preparadas para enfrentar os desafios tecnológicos de forma mais eficiente, alcançando resultados superiores e se destacando em um mercado cada vez mais competitivo.
A aplicação das práticas mencionadas garante uma base sólida para o crescimento sustentável do negócio a médio e longo prazo. Investir em Governança de TI é uma estratégia inteligente para enfrentar os desafios do mundo digital e garantir um futuro próspero para as empresas.
Fonte: IT Forum