Os setores financeiro e de meios de pagamento estão entre os mais afetados por ataques cibernéticos no Brasil. À medida que novas modalidades de serviços surgem no mercado e elevam o número de transações, crescem também as ameaças à segurança. De acordo com um levantamento realizado pela Kryptus, apesar das potenciais vulnerabilidades, parte das instituições do país ainda investe pouco em medidas mais robustas de proteção.
O estudo aponta que ainda falta maturidade em cibersegurança a esses segmentos. “Ao analisarmos as principais escolhas de produtos e serviços para garantir a proteção das informações nas empresas, é possível notar a adoção de medidas que estão numa camada superficial de segurança, como VPN e autenticação usuário/senha”, afirma Willian Oliveira, Product Owner da Kryptus.
Quando se trata de arquiteturas complexas, com medidas mais robustas de segurança que exigem um grau maior de investimento ou de conhecimento técnico, há uma redução nas aquisições por parte das empresas. Mais da metade da amostra não possui soluções que promovem uma camada mais profunda de segurança como, por exemplo, os centros de operações de segurança (SOCs), o gerenciamento seguro de certificados digitais e os módulos de segurança criptográficos (HSMs).
Dentre as instituições que afirmaram não ter um HSM, 45% sequer consideraram a possibilidade de investimento na tecnologia. Mesmo os respondentes que reconhecem a necessidade do uso de um HSM, ainda mencionam preço, inexigibilidade da regulamentação do setor e compreensão dos benefícios como as principais barreiras para efetivar a adoção. A situação se agrava quando apontado que 42% dos respondentes afirmam não utilizar nenhum outro tipo de solução para cifrar e proteger as chaves criptográficas.
“Isso mostra o quão importante é a regulamentação para que os investimentos sejam priorizados, pois, além da obrigatoriedade, funcionaria como ferramenta educativa para os decisores que não investem por desconhecimento da tecnologia”, esclarece Oliveira.
Quanto ao nível de proficiência dos profissionais de segurança da informação, apenas 50% da amostra indicou possuir um alto nível de entendimento sobre cibersegurança. Já o conhecimento em criptografia apresenta um percentual ainda mais baixo, 34%.
A partir desses dados, Oliveira considera duas hipóteses. “A primeira é que os profissionais que atuam nessa área, apesar de estarem cientes dos riscos aos quais as empresas estão expostas, não conseguem defender a priorização dos investimentos em soluções adequadas; a segunda é que falta a esses profissionais conhecimento mais aprofundado sobre os riscos e as medidas necessárias para mitigá-los – nesse caso, é mandatório que as empresas invistam em capacitação e atualização de suas equipes, com a ajuda de parceiros especializados”, recomenda.
Sobre o tipo de solução que as empresas gostariam de adotar, o HSM em nuvem possui maior aceitação pelas instituições de pagamento. Dentro desse perfil, 60% dos respondentes já consideraram adquirir a tecnologia. “O valor mais baixo de investimento, a vantagem de uma estrutura escalável e com o mesmo nível de segurança de um HSM on premise (instalado no local) são características que têm chamado a atenção dessas companhias, independentemente do porte”, aponta Oliveira.
Por outro lado, bancos, cooperativas de crédito e administradoras de consórcio revelam um perfil distinto. Apenas 30% chegaram a avaliar a necessidade do HSM em nuvem. “Isso porque há uma preferência do setor em possuir os equipamentos on premise, devido ao maior controle na gestão física que esse tipo de appliance oferece”, finaliza.
A empresa conduziu essa pesquisa com 30 gestores de tecnologia e segurança da informação de instituições financeiras, entre bancos, cooperativas de crédito, administradoras de consórcio, intermediadoras, previdências e administradoras de cartão de oito estados: Santa Catarina, Paraná, São Paulo, Minas Gerais, Rio de Janeiro, Espírito Santo, Ceará e Paraíba.
