A F5 anunciou as descobertas do estudo State of Application Strategy Financial Services. O levantamento mostra que, dentro do universo pesquisado, 30% das empresas ainda contam com aplicações focadas na automação de tarefas. Nessa resposta de múltipla escolha, 70% estão vivendo a expansão digital. São empresas que buscam entregar uma experiência digital contínua.
A base dessa estratégia é dupla: contar com um processo de automação alinhado às áreas de negócios e investir na orquestração das aplicações. 57% das respostas, por outro lado, indicam que os executivos entrevistados já contam com recursos de Inteligência Artificial e Machine Learning em suas aplicações de negócios. “O segmento financeiro brasileiro está maciçamente na fase 2”, avalia Vinicius Miranda, engenheiro de soluções de segurança da F5 Brasil.
A consciência de que a aplicação é o negócio tem levado os líderes da organização financeira a buscarem uma visibilidade de 360° sobre o que está se passando, por exemplo, no Internet Banking.
Qualquer degradação de performance ou indisponibilidade afeta os negócios do banco e das empresas e pessoas que dependem dessa instituição. 98% dos entrevistados pela F5 afirmaram não contar com os insights necessários para atuar de maneira preventiva e preditiva contra falhas ou ataques. Essa resposta de múltipla escolha revela que os desafios enfrentados são bastante específicos. 58% não conseguem identificar a causa raiz de incidentes, 54% não sabem a causa raiz de problemas de desempenho e, finalmente, 53% não conseguem discernir se, por trás do problema, há um ataque.
“Esse é um grande desafio vivido pelos bancos”, explica Miranda. “Há uma falta de soluções baseadas em IA e ML que consigam atuar em escala, discernindo com precisão, por exemplo, o que é um acesso humano, o que é um robô do ‘bem’ – como o Google – e o que é um robô do ‘mal’”. Em muitas organizações, as soluções implementadas entregam insights sobre fatores que já estão equacionados, não atuando de forma eficaz contra novas ameaças e problemas.
Organização em silos dificulta a proteção de todo o ambiente digital
Para o engenheiro de soluções de segurança da F5, outro fator complicador é que as empresas ainda delegam para o time de ICT Security toda a responsabilidade sobre o ambiente digital. “A organização em forma de silos isola a área de negócios das áreas de tecnologia e passa, para o usuário interno, a percepção de que os desafios de segurança, por exemplo, não lhe dizem respeito”. Para Miranda, a solução é seguir investindo em mudanças culturais que levem as melhores práticas de segurança digital para além do time de tecnologia.
Outro destaque do estudo é que, para 71% dos entrevistados, o grande método de modernização de aplicações é o consumo cada vez maior de APIs (Application Programming Interfaces). Em seguida surgem estratégias como adicionar novos componentes à aplicação (61%), refazer o código da aplicação (40%) e, finalmente, migrar a aplicação – sem realizar modernizações – para a nuvem pública. O relatório mostra, também, que 82% do universo pesquisado é formado por organizações financeiras que, por realizarem mais de 10 milhões de acessos a APIs por mês, já contam com soluções de proteção às APIs. Esse índice cai para 32% no caso de bancos que consomem menos de 1 milhão de APIs por mês.
Cultura de APIs se expande no Brasil
“Fica claro, portanto, que quanto mais intenso o consumo de APIs, maior a utilização de soluções de segurança sob medida para essas linguagens”, diz Miranda. Vale destacar que essa cultura tem avançado muito no país. “Uma das principais inovações do nosso sistema bancário em 2020 foi o PIX, uma aplicação totalmente baseada em APIs – isso confirma que a disseminação de APIs no mercado financeiro antecede em vários anos a chegada do Open Banking”.
Em sua visão, além da proteção das APIs, outro desafio dessa jornada de modernização de aplicações é que, agora, a plataforma é baseada em microsserviços e containers que “quebram” a aplicação em diversos pedaços. “Isso aumenta a vulnerabilidade do sistema, abrindo espaço a exploits e causando prejuízo às organizações financeiras”. Nos dois casos, o uso de soluções como WAF (Web Application Firewall) para proteger a aplicação como um todo, as APIs e os microsserviços pode suavizar esse quadro.
LGPD leva bancos a seguir investindo em nuvem privada
O estudo revela, ainda, a importância da nuvem privada dentro do segmento bancário. 77% dos entrevistados afirmam que continuarão investindo em ambientes on-premises. Nessa resposta de múltipla escolha, em seguida vem 57% que rodam aplicações críticas na nuvem híbrida ou pública, 26% que contratam serviços de colocation em data centers de terceiros, 26% que adotam serviços gerenciados oferecidos de forma remota e, finalmente, apenas 9% que já têm aplicações rodando em Edge Computing.
“Um dos motores desse quadro, que também se aplica ao Brasil, são leis como a LGPD (Lei Geral de Proteção de Dados”, explica Miranda. “A meta é manter em ambientes on-premises dados sensíveis do cliente do banco – isso é inserido numa visão maior de segurança e governança, elementos essenciais para garantir a conformidade da instituição financeira à LGPD”.
Esse relatório é baseado em entrevistas realizadas no segundo semestre de 2021 com 125 CIOs e CISOs de organizações financeiras de todo o mundo, incluindo 11 líderes de instituições brasileiras. Esses profissionais trabalham em bancos, corretoras de valores e seguradoras com mais de 1000 colaboradores – cerca de 30 dos líderes entrevistados atuam em organizações com mais de 10.000 colaboradores.
