Por que os Mainframes Ainda São Importantes na Era Digital dos Bancos – Entrevista com Jennifer Nelson

Jennifer Nelson é CEO da izzi Software.

Descubra as principais notícias e eventos fintech!

Inscreva-se na newsletter da FinTech Weekly

Lida por executivos da JP Morgan, Coinbase, Blackrock, Klarna e muito mais

Numa indústria obcecada pela mais recente onda de tecnologia, é fácil esquecer que alguns dos pilares mais fortes da infraestrutura financeira existem há décadas. Enquanto a inovação fintech é muitas vezes apresentada como uma corrida em direção ao futuro, a espinha dorsal da banca global permanece silenciosamente ancorada em sistemas que muitos erroneamente descartam como relíquias: o mainframe.

Isso não é apenas uma questão de nostalgia ou inércia corporativa. Os mainframes ainda processam a maior parte das transações financeiras do mundo, com uma fiabilidade e escala inigualáveis por muitas plataformas mais novas. A sua capacidade de lidar com vastos volumes de dados em tempo real, sem comprometer a segurança, tornou-os indispensáveis num sistema financeiro que depende tanto da rapidez como da confiança.

No entanto, apesar do seu papel crítico, os mainframes são frequentemente mal interpretados. No clima atual, onde “cloud-first” é o mantra padrão, pode parecer contra-intuitivo defender tecnologias mais antigas. Mas chamar o mainframe de sistema legado simplifica excessivamente uma verdade muito mais complexa. Para entender porquê, precisamos examinar o equilíbrio entre sistemas de herança e o impulso moderno em direção a infraestruturas híbridas.

O Caso para a Modernização com Cautela

As instituições financeiras estão sob pressão implacável para se modernizar. Investidores, clientes e reguladores esperam serviços digitais contínuos, segurança reforçada e desempenho cada vez mais rápido. Para muitos líderes, a tentação é buscar a mudança de forma agressiva — eliminar sistemas antigos e migrar em massa para a nuvem.

Mas a modernização não é simplesmente um projeto técnico. É uma empreitada estratégica que acarreta riscos quando feita apressadamente. Dados que viveram com segurança dentro de um ambiente de mainframe durante décadas tornam-se expostos no momento em que são transferidos para outro lugar. Aplicações otimizadas para o mainframe podem ter dificuldades ao serem migradas, resultando em problemas de latência dispendiosos. Esses riscos são mais do que hipotéticos — ameaçam operações diárias, conformidade regulatória e até mesmo a confiança do consumidor.

A lição é clara: a verdadeira modernização não se trata de arrancar o antigo em favor do novo. Trata-se de integrar forças, implementar atualizações cuidadosamente e garantir que o próximo passo não desestabilize o que já funciona.

Uma Lacuna de Habilidades com Consequências Reais

A tecnologia evolui mais rápido do que a expertise necessária para mantê-la. Em nenhum lugar isso é mais evidente do que no espaço dos mainframes. Durante anos, bancos e instituições financeiras contaram com uma pool de engenheiros com profundo conhecimento institucional dos sistemas IBM Z e plataformas relacionadas. À medida que muitos desses especialistas se aposentam, a próxima geração ainda não substituiu totalmente o seu conjunto de habilidades.

Isso cria um desafio sério. Uma escassez de expertise aumenta o risco de erros dispendiosos, mesmo quando as proteções estão em vigor. A resiliência dos mainframes não pode compensar totalmente o fator humano. Até que novos engenheiros sejam treinados e orientados, os bancos enfrentarão vulnerabilidades não por causa da tecnologia em si, mas devido à diminuição do número de profissionais que sabem como utilizá-la com segurança.

A Segurança Ainda é uma Questão de Pessoas

Quando surgem conversas sobre cibersegurança, muito do foco está em ferramentas e defesas. No entanto, repetidamente, as verdadeiras fraquezas provêm do comportamento humano. No mundo dos mainframes, isso muitas vezes se resume a como as permissões são concedidas, geridas e revogadas.

Desenvolvedores que não compreendem totalmente as implicações de permissões elevadas podem deixar portas abertas, não por malícia, mas por falta de formação completa ou conveniência. Empresas que não atualizam o acesso quando os funcionários mudam de função podem expor dados sensíveis desnecessariamente. Mesmo com tecnologia sofisticada, os princípios básicos de higiene de segurança permanecem essenciais — e muitas vezes são ignorados.

Apresentando Jennifer Nelson

Para colocar esses desafios e oportunidades em contexto, recorremos a Jennifer Nelson, CEO da Izzi Software. Nelson construiu sua carreira em torno de sistemas de mainframe, passando 15 anos na Rocket Software e cinco anos na BMC, antes de ampliar sua perspectiva através de funções de engenharia sênior fora do ecossistema IBM Z. Em 2024, fundou a Izzi Software, uma empresa dedicada à aquisição e crescimento de negócios construídos nas plataformas IBM Z e IBM Power.

Seu ponto de vista — que abrange engenharia tradicional de mainframe e liderança em software moderno — torna-a uma voz rara na conversa atual sobre estratégia tecnológica em serviços financeiros.

Desfrute da entrevista!

1. À medida que a fintech avança para tudo nativo na nuvem, você argumentou que o mainframe continua crítico para a estabilidade bancária global. O que você acha que a maioria dos inovadores erra sobre o papel dos sistemas mais antigos hoje?

A primeira coisa que eles erram é chamar o mainframe de sistema legado; porque foram lançados há mais de 60 anos, são de alguma forma obsoletos. Isso é como chamar o sistema operativo Windows de plataforma legado. Não é a realidade. Os mainframes são mais relevantes hoje do que quando foram inventados.

Todo mundo quer dados à velocidade da luz. Eles querem os dados devolvidos assim que pressionam o botão, não importa onde esses dados estejam. E com razão, porque o consumidor final não saberia, e não deveria precisar saber, as complexidades do seu pedido, como onde os dados estão. Mas apenas os mainframes podem oferecer o desempenho e a segurança em um ambiente híbrido.

Os mainframes podem ingerir dados de qualquer lugar onde estejam, analisá-los e reportá-los de volta, completos com recomendações, melhor do que qualquer outra plataforma, e mais rápido. Mostre-me outro sistema que pode ingerir dados de toda uma rede global, analisá-los, detectar anomalias em tempo real e enviá-los de volta ao chamador.

Aquele que conhece seus dados melhor vence porque os dados são tão preciosos quanto capital em dinheiro. Quando os inovadores descartam os mainframes como sistemas legados, estão descartando sua velocidade e poder, e a capacidade de processar quantidades massivas de dados à velocidade necessária para a detecção de riscos em tempo real.

As pessoas pensam que a nuvem foi revolucionária e moderna, e que os mainframes estão desatualizados em comparação. O conceito de computação em nuvem em uma rede é, de fato, moderno e revolucionário para muitos. Mas se você está familiarizado com a tecnologia de mainframe, os usuários reconhecerão que tem muitas das mesmas características que a nuvem. Por exemplo, quando você faz login no mainframe, está fazendo login no TSO, abreviação de “opção de compartilhamento de tempo”. Você tem sua própria sessão TSO, ou ‘instância’ do Microsoft Teams.

Todos vocês estão usando os mesmos processadores no mainframe. Mas quando você não está executando um programa ou trabalho em lote, a capacidade é dada àqueles que precisam dela. Você também está fazendo login em um LPAR, ou partição lógica, completa com armazenamento dedicado, segurança e privacidade. Usuários em um LPAR não podem acessar dados em outro LPAR, a menos que seja especificamente configurado para fazê-lo. Isso é o que a nuvem é em sua essência; compartilhamento de recursos quando você não está usando-os, e segurança dos dados dedicados à sua instância. Mas o mainframe já usa esses conceitos há anos.

2. A infraestrutura híbrida — misturando mainframes com novas camadas de nuvem — está se tornando a norma. Com base na sua experiência, quais são os verdadeiros fatores de risco introduzidos quando as organizações tentam se modernizar muito rapidamente ou superficialmente?

Dos múltiplos fatores de risco, posso resumir em dois.

O primeiro risco é o consumo de dados. Os dados em um mainframe são alguns dos dados mais seguros que existem. Quando você os retira do mainframe ou os torna visíveis para alguém que está ingerindo esses dados, há um risco para a privacidade e regulação dos dados. Quem está vendo isso? Para onde vai quando sai do mainframe?

O segundo risco está na otimização de aplicações para rodar em um ambiente híbrido. Aplicações otimizadas para o mainframe podem acabar rodando de forma sub-otimizada em outro servidor. Problemas de latência e desempenho podem prejudicar a produtividade.

3. Você levantou o alerta sobre uma lacuna de habilidades em expertise de mainframe. Quão sério é o risco institucional quando menos engenheiros sabem como operar e proteger os sistemas dos quais as instituições financeiras ainda dependem?

O risco é severo. Desenvolvedores mais novos — não apenas mais jovens, mas aqueles novos na indústria — aprenderão e expandirão sua expertise. Mas até que a próxima geração alcance, haverá uma exposição nas instituições financeiras por algum tempo, quando o conhecimento institucional não for tão profundo quanto precisa ser.

Pessoas com uma profundidade rasa de experiência ou conhecimento podem fazer coisas inadvertidamente que causam risco aos dados ou a um sistema operacional. Esses sistemas são resilientes e têm várias camadas de proteção contra erro humano, mas ainda há uma quantidade justa de risco até que as habilidades estejam onde precisam estar. Os bancos já estão lutando com essa lacuna de habilidades hoje.

4. As conversas sobre segurança muitas vezes se concentram em ferramentas, mas você apontou que as pessoas ainda são a linha de frente. Quais pontos cegos operacionais você viu surgir mais frequentemente na gestão de ambientes de mainframe?

Gerir ambientes relevantes geralmente se centra em permissões elevadas. Quando um engenheiro de software está escrevendo código, às vezes precisa de uma permissão elevada para fazer algo específico no sistema operacional, onde pode habilitar o programa para fazer algo mais sensível. Se o engenheiro não compreender as melhores práticas do desenvolvedor ao escrever software, ele não saberá quando entrar e sair daquele estado autorizado elevado. Esse estado traz mais risco, então os engenheiros não permanecerão nele tempo suficiente para entender completamente as melhores práticas ao desenvolver para esse sistema.

Existem também algumas melhores práticas fundamentais de segurança a serem utilizadas em qualquer rede de TI. Quando você dá autorização especial a alguém em um determinado papel, precisa de um processo claro para remover essa autorização quando eles mudam de função, para garantir que você remova o acesso. Muitas vezes não é um problema, se eles ainda são um funcionário da empresa ou não são um agente malicioso. Mas sempre há um risco quando se deixa muitos dados sensíveis disponíveis para pessoas que não precisam mais deles.

Além disso, conjuntos de dados a nível de sistema do mainframe permitem que os usuários façam coisas fundamentais a um sistema. Você só quer que certos usuários tenham acesso a essas funções. Por exemplo, certos controles de segurança só podem ser ativados nos níveis mais profundos do sistema operacional. Você ficaria surpreso com a frequência com que as empresas deixam princípios básicos de segurança sem verificação. Existem formas para os engenheiros realizarem seu trabalho sem ter acesso a esses recursos de nível raiz, mas é mais fácil trabalhar com esse nível de acesso, então as empresas deixam a porta dos fundos aberta mais do que deveriam.

A maioria dos funcionários pode ser confiável, mas esses são princípios fundamentais que algumas instituições financeiras deixam abertos e esquecem.

5. Ataques de ransomware estão mirando não apenas endpoints, mas a infraestrutura central. O que torna os sistemas legados tanto singularmente vulneráveis — e, em alguns casos, mais resilientes — do que plataformas mais novas?

Os mainframes têm camadas de segurança integradas que a maioria dos servidores simplesmente não possui. Apenas porque você pode fazer login no mainframe não significa que agora você tem acesso a dados críticos para os negócios, que é o que o ransomware geralmente bloqueia. Você então precisa saber onde os dados estão e como acessar esses dados. E então os dados podem estar compartimentados, de modo que um invasor tem acesso apenas a um segmento dos dados e não a tudo o que precisa para um ataque de ransomware bem-sucedido. E se você não tiver acesso ao dispositivo de armazenamento, não pode ver os dados nesse dispositivo.

6. Com base na sua experiência, como é que a modernização efetiva realmente se parece para instituições financeiras que não podem se dar ao luxo de “arrancar e substituir”, mas precisam estar preparadas para o futuro?

A modernização significa coisas diferentes em diferentes empresas, devido ao estado em que estão com as aplicações que executam. Seja B2B ou B2C, as empresas estão constantemente se modernizando, atualizando servidores e laptops.

A mesma coisa acontece com aplicações críticas para os negócios. Uma empresa pode periodicamente atualizar essas aplicações, mas como as aplicações tradicionais de mainframe foram desenvolvidas há gerações, a melhor coisa que as empresas podem fazer é avaliar completamente o que cada aplicação faz de ponta a ponta. Dessa forma, podem implementar sua modernização em peças gerenciáveis.

As empresas podem compartimentar uma aplicação, quebrando-a em partes para que as diferentes funcionalidades e características sejam atualizadas e reescritas lentamente ao longo do tempo, à medida que for acessível. Se você olhar para a modernização como um processo contínuo, o desejo de melhorar e iterar se torna contínuo.

Os líderes devem sempre ter uma mentalidade proativa. As perguntas devem ser: “O que podemos fazer agora? O que podemos conter este ano? O que podemos conter nos próximos dois anos?” Essa é uma abordagem melhor do que “como reescrevemos tudo isso?”

Você tem que iterar nos sistemas e construí-los ao longo do tempo. Comece reescrevendo uma funcionalidade de uma aplicação crítica para os negócios, depois construa em cima disso adicionando o resto das funcionalidades à medida que puder. Implemente mudanças de forma gradual.

Arrancar e substituir é uma opção. Parece bruto e brutal, mas tudo o que realmente significa é parar de usar um sistema para usar outro. Mas a liderança precisa ter estômago para uma grande mudança de uma só vez e tem que aprovar o orçamento. A verdade é que é mais apenas “substituir”, porque pode levar anos para completar o procedimento.

7. Para líderes de tecnologia que vêm de uma mentalidade cloud-first, o que você diria que é a mudança de pensamento mais importante ao se envolver com sistemas de mainframe críticos para a missão?

Aprenda o que o mainframe está realmente fazendo. O Juramento Hipocrático diz para primeiro não causar dano, então aprenda o que o mainframe é responsável por fazer para evitar cometer erros prejudiciais. Uma vez que aqueles com uma mentalidade cloud-first entendam a totalidade das transações que estão entrando no mainframe, a natureza dessas transações, e quanto a receita da empresa depende dessas transações, eles entenderão e saberão como evitar prejudicar o desempenho e a rentabilidade da empresa.

Sobre Jennifer Nelson

Jennifer Nelson passou a maior parte de sua carreira no espaço dos mainframes, incluindo 15 anos na Rocket Software e cinco anos na BMC. Em 2019, ela fez a transição para funções de engenharia sênior em empresas de tecnologia globais fora do ecossistema dos Sistemas Z, ampliando sua perspectiva e conjunto de habilidades. No início de 2024, Nelson começou a estabelecer as bases para o que se tornaria a Izzi Software, uma empresa focada na aquisição e crescimento de negócios de software construídos nas plataformas IBM Z e IBM Power.