por Roberto de Carvalho *
Globalmente, poucas indústrias podem dizer que foram tão impactadas com a atual Transformação Digital quanto o mercado das instituições financeiras. Impulsionados por pontos como a ascensão dos novos recursos desta era hiperconectada, a consequente mudança das demandas dos clientes e a intensa concorrência de mercado, bancos, seguradoras, corretoras e demais organizações ligadas a este segmento tiveram de se reinventar para acompanhar a evolução tecnológica — em desafios que pairam tanto na missão de se criar operações mais confiáveis como na inequívoca necessidade de se fortalecer a inovação em busca de soluções completas, que ofereçam experiências únicas e eficientes a cada consumidor.
Diante desses desafios, as companhias de serviços financeiros estão adotando ambientes Multicloud altamente dinâmicos, além de infraestruturas com arquiteturas nativas da Nuvem e aplicações baseadas em código-aberto. O objetivo é claro: acelerar as ações para se maximizar a alta performance e a agilidade digital na entrega de recursos aos clientes.
O outro lado da moeda, no entanto, é que esta dinâmica imposta pela digitalização moderna tem também tornado o gerenciamento dos ambientes de tecnologia mais complexo. O que, em última instância, significa que estas empresas estão mais suscetíveis a riscos em suas etapas de segurança digital.
Existem alguns motivos para isso, incluindo o alto volume de aplicações a serem gerenciadas, a velocidade das interações e a dificuldade de integrar as diferentes abordagens e estruturas.
O ponto é que a ascensão dos ambientes de modernos da Nuvem criou, de fato, um enigma paradoxal para as equipes de TI, desenvolvimento e segurança — inclusive, mas não somente no setor de serviços financeiros.
O uso crescente de microsserviços, Kubernetes e computação sem servidor ao mesmo tempo que oferece maior agilidade nos negócios, também cria complexidade para a qual muitas soluções de segurança não foram projetadas (e que a capacidade humana não consegue gerenciar).
Há ainda o fato de que as redes estão dispostas em inúmeras camadas, com ambientes rodando de forma independente em cada um destes níveis, o que cria um cenário propício para o surgimento de vulnerabilidades no meio dos ciclos da operação.
A aceleração dessa proposta com diversas camadas, com novas tecnologias sendo combinadas em diferentes níveis, pode ser a porta de uma séria lacuna na análise e proteção nas empresas.
Este foi um dos recados que nossa uma recente pesquisa com Chief Information Security Officers (CISOs) de empresas do mundo inteiro. A análise destacou, entre outros achados, que a alta complexidade das redes está impactando diretamente a capacidade de cibersegurança das organizações.
Ao todo, mais de 75% dos diretores de segurança da informação da indústria financeira disseram que, apesar de ter uma postura de segurança multilayer, ainda admitem que há a possibilidade de existirem lacunas que permitem vulnerabilidades na produção.
Nesse sentido, parece claro que a Observabilidade e a Segurança da Informação são requisitos que precisam ser vistos como fatores convergentes, uma vez que, juntos, estes dois trabalhos podem permitir um gerenciamento mais eficaz das atividades, o que trará ganhos para agilizar a identificação de vulnerabilidades, com detecção e bloqueio de ataques em todo o setor de serviços financeiros.
É preciso deixar claro que a Observabilidade deve ser uma prioridade, pois mesmo com as abordagens mais robustas e em camadas de segurança cibernética, muitas organizações ainda não conseguem acompanhar em tempo real e com inteligência os indicadores dinâmicos das redes atuais.
Mais do que ferramentas, portanto, os CISOs precisam conseguir visualizar e entender o contexto que suas equipes enfrentam. Em outras palavras, precisam de observabilidade real para identificar um risco potencial, bem como encontrar uma vulnerabilidade crítica que pode ser explorada.
Vale destacar que, de acordo com nosso estudo, 42% das organizações têm recursos de gerenciamento de vulnerabilidades em tempo de execução, mas apenas 6% das empresas de serviços financeiros têm visibilidade no nível de execução em ambientes de produção em contêiner. É preciso levar essa visibilidade abrangente e inteligente em conta para facilitar a rotina dos times.
Isso não inviabiliza a busca e adoção de práticas ágeis, como o DevSecOps, para remover gargalos tradicionais que podem sobrecarregar equipes de segurança com falta de pessoal. O DevSecOps realmente capacita os desenvolvedores de organizações de serviços financeiros a proteger seu próprio código, para que as empresas possam lançar novos serviços bancários digitais, investimentos e seguros de maneira mais rápida.
No entanto, essa prática ainda está amadurecendo e muitos desenvolvedores não têm recursos para assumir maior responsabilidade pela segurança. Também não é suficiente apenas mudar a visibilidade e o modelo de trabalho das pessoas; também é necessário garantir que elas tenham acesso à inteligência necessária para que as correções de rota aconteçam com assertividade e eficiência, garantindo que as aplicações sejam executadas com máxima segurança e alta performance.
Para impulsionar o gerenciamento eficaz de vulnerabilidades na era da Nuvem, as instituições financeiras devem tratar a segurança como uma responsabilidade compartilhada em toda a empresa e a observabilidade como um recurso fundamental para que as equipes de desenvolvimento, operações e segurança tenham o contexto necessário com a finalidade de entender como suas aplicações estão operando e onde estão as vulnerabilidades ou pontos críticos.
Somente com esse equilíbrio entre implementação de novas tecnologias e observabilidade é que as equipes de segurança nas organizações de serviços financeiros terão os recursos de gerenciamento de vulnerabilidades em tempo de execução.
E é isso o que permitirá que os CISOs consigam entender o que está sendo executado na produção e identificar vulnerabilidades que podem ser exploradas para extorquir o dinheiro dos clientes ou comprometer dados que podem colocá-los em risco de fraude. Com a observabilidade, as organizações poderão ter respostas precisas e confiáveis para evoluírem nessa jornada de transformação com mais qualidade, performance e segurança.
- Roberto Carvalho é Vice-presidente para América do Sul da Dynatrace