A F5, provedora de soluções de segurança cibernética, anunciou as descobertas do estudo State of Application Strategy Financial Services Edition. Este relatório foi construído a partir de entrevistas com 700 líderes de cybersecurity de todo o mundo, incluindo 25 do Brasil. Esse grupo inclui bancos tradicionais, fintechs e corretoras. Um destaque do estudo é o fato de que 70% dos entrevistados disseram ser inadmissível implementar uma aplicação de negócios sem segurança. Trata-se de uma tarefa desafiadora: os ambientes digitais deste setor são complexos, distribuídos e de gerações e maturidades diferentes. O estudo revela que embora 67% dos líderes entrevistados já utilizem aplicações de negócios baseadas em Inteligência Artificial, segue forte a ênfase na expansão e modernização dos ambientes digitais (81%). Há espaço, ainda, para 33% de projetos baseados na automação de tarefas. "Gerações tecnológicas diferentes convivem no setor financeiro, aumentando a complexidade da gestão e proteção de aplicações que rodam tanto on-premises como em várias nuvens híbridas. Ainda assim, o horizonte aponta para a expansão das aplicações de negócios modernas baseadas em IA. Dois anos atrás, 57% do setor financeiro contava com esse tipo de projeto", diz Roberto Ricossa, Vice-Presidente da F5 LATAM.

Perfis muito diferentes de empresas têm, porém, convergido para um ponto: a repatriação de aplicações da nuvem pública para ambientes privados. "Até mesmo alguns nativos digitais que desenharam seu negócio na nuvem estão, hoje, migrando aplicações críticas para ambientes on-premises para obter maior controle de custos e de gestão sobre seus ativos", aponta Ricossa. A pesquisa revela que 33% do universo pesquisado ou já está repatriando seus Apps ou planeja fazer isso.

O papel da nuvem na adoção da IA

Vale destacar que, especialmente entre os bancos mais tradicionais, o movimento de migração de aplicações para a nuvem pública foi mais cauteloso. "Há, na verdade, uma variedade de cenários. O fato de as grandes nuvens contarem, hoje, com POPs no Brasil, representa um acelerador do modelo multinuvem. Esse é um fator essencial na disseminação de tecnologias de Inteligência Artificial baseadas em altíssima densidade de dados".

Onde há aplicações modernas, com ou sem IA, acontece a explosão de APIs, uma maneira rápida de adicionar funcionalidades ao App da instituição financeira. Enquanto, em média, cada empresa do setor financeiro conta com 554 aplicações em produção, 601 APIs também mostram sua força.

Embora as melhores práticas de desenvolvimento e proteção de APIs prevejam o uso de soluções de cybersecurity ao longo de toda a esteira de desenvolvimento, isso nem sempre acontece. "Novamente encontramos um quadro muito diverso no que diz respeito à maturidade de desenvolvimento, gestão e proteção dessas linguagens", analisa Hilmar Becker, Diretor Regional da F5 Brasil. "Em muitos casos, o foco é na velocidade de desenvolvimento e na escala de deployment das APIs. O desenvolvedor tem a tentação de usar um motor de IA para criar parte do código sem, no entanto, fazer uma análise detalhada das vulnerabilidades desta linguagem".

Estratégias para proteger as APIs

Quando perguntados sobre que estratégias usam para proteger suas APIs, 61% dos gestores do setor financeiro concentram-se na autenticação e autorização das linguagens a serem usadas em suas esteiras de desenvolvimento. API Discovery é usada por 45% e scanning para identificar dados maliciosos, 41%. A detecção de comportamentos anômalos da API é realizada por 39% do universo pesquisado, mesmo índice que quem se foca em mitigar as 10 principais vulnerabilidades de APIs listadas no OWASP. "Uma forma de reforçar a segurança das APIs é contar com uma plataforma de cybersecurity que realiza todas essas etapas, construindo um mapa das APIs consumidas pelo banco", aponta Becker. Trata-se de uma estratégia que vai muito além de engines tradicionais de segurança.

Fica fácil, por exemplo, escanear um domínio da Internet e identificar quais APIs estão lá dentro. É possível, também, analisar o repositório de código das aplicações e, a partir daí, verificar quais APIs estão sendo chamadas por esse tipo de código. Para economizar o headcount do banco ou da fintech, isso é feito de forma automatizada e com auxílio de IA e ML (Machine Learning). "A meta é acelerar os negócios com a máxima segurança", resume Becker.

Busca da melhor UX influencia onde rodará o App

A pesquisa da F5 revela, ainda, a forte preocupação dos bancos com a entrega da melhor experiência do usuário. "Está acontecendo uma corrida no setor para ver quem consegue melhor engajar o usuário/correntista/investidor", detalha Adriano Cremaschi, engenheiro de vendas para o mercado financeiro da F5 Brasil. "33% dos entrevistados afirmam decidir em que ponto da nuvem implementar um workload a partir do impacto disso sobre a experiência do usuário".

Hoje cinco gerações de pessoas convivem no planeta – o banco tem de encantar digitalmente a cada uma delas. Embora a UX seja a soma de "n" estratégias e recursos, fica claro que, para os gestores, 61% buscam soluções para aumentar a performance dos Apps. Outros 56% investigam os custos da computação envolvidos na melhora da UX. A segurança da UX está no foco de 49% dos entrevistados.

Falta de talentos reforça opção por Security as a Service

O estudo aponta, ainda, o interesse de líderes de cybersecurity pelas plataformas de Security as a Service. "É uma resposta que endereça a tempestade perfeita criada pela falta de talentos para proteger Apps e APIs rodando de forma distribuída em multinuvens. A automatização baseada em IA e ML é implementada como serviço que atua de forma preditiva e granular para vencer ameaças zero day e remediar vulnerabilidades".

50% dos entrevistados adotam essa estratégia para resolver os desafios de patches e atualizações, mesmo índice dos que enxergam nessas plataformas uma forma de resolver o desafio de falta de soluções ou processos para enfrentar ataques zero day. Outros 39% afirmam que não contam com talentos com a maturidade necessária para enfrentar os ataques, enquanto 35% reclamam da baixa velocidade de fornecedores de soluções de cybersecurity on-premises para fazer frente aos avassaladores ataques atuais.