Investir em cibersegurança é mandatório no setor bancário e, de acordo com a pesquisa "Febraban Tecnologia Bancária 2022", as transações financeiras, cada vez mais digitais, têm levado os bancos e instituições financeiras a priorizarem em seus planejamentos orçamentários as tecnologias voltadas à segurança cibernética. Para se ter uma ideia, a pesquisa revela que a cibersegurança já consome 10% do orçamento de TI dos bancos, ou aproximadamente R$ 250 milhões.
Apesar da indiscutível importância que a segurança digital tem no setor bancário como um todo, a maturidade entre os diversos tipos e portes de empresa varia muito. Os grandes bancos tradicionais, por razões óbvias, têm muito mais disponibilidade orçamentária, equipes de segurança da informação estruturadas e experiência no assunto. Além disso, trata-se de um setor altamente regulado e auditado pelo Banco Central, o que obriga os bancos a cumprirem regras rígidas de conformidade.
Nos últimos anos, com o intenso surgimento de novos bancos de porte pequeno ou médio, que já nascem digitais, nota-se, porém, que esse segmento ainda precisa percorrer uma jornada para alcançar a maturidade quando se pensa na proteção do app e na Segurança da Informação de uma forma mais ampla e consistente.
O que vemos é que os pequenos e médios bancos digitais acertadamente se preocupam bastante com a proteção do aplicativo, que é afinal o seu canal de operação e comunicação com o cliente, o centro do negócio. Apesar disso, o processo de compra e implementação de produtos de segurança ainda carece de evolução, pois muitas vezes esses bancos acabam considerando apenas o fator preço na hora de adquirir ferramentas de proteção ao aplicativo, sem um olhar holístico e até sem saber como tirar o melhor proveito daquela solução. Na maioria dos casos, esses bancos não possuem mão de obra suficiente para avaliar as ferramentas, implantá-las e usá-las de maneira adequada.
Quando se fala em cibersegurança é preciso ter em mente que o produto mais barato pode não ser o mais adequado para a realidade do seu negócio. Certos produtos podem até ajudar a passar por auditorias, mas o risco continuará o mesmo se todos os níveis de segurança do app não forem considerados, desde o desenvolvimento de um código seguro com testes para verificar vulnerabilidades até a análise de casos mais complexos, tais como engenharia reversa, uso de técnicas de desofuscação do código e ataques dinâmicos (realizados em tempo de execução) ao app. Conscientização dos líderes do negócio é o primeiro ponto para começar a pavimentar esse caminho.
É até compreensível essa realidade dos bancos digitais no campo da segurança da informação, uma vez que, em fases iniciais de operação, esses bancos investem pesado em marketing para chamar a atenção e atrair clientes e também na criação do app si, pensando na experiência que o usuário terá.
A virada de chave para o foco em segurança da informação, no entanto, precisa vir logo em seguida, pois se querem ganhar a confiança de uma massa de clientes, esses bancos não podem deixar em segundo plano um planejamento estratégico que considere situações de fraudes digitais e/ou ataques cibernéticos envolvendo seus aplicativos. Não saber como lidar com essas situações ou demorar para agir pode pôr em risco a existência do negócio, por danos irremediáveis à sua reputação e credibilidade.
Logo, o investimento em produtos isolados de cibersegurança para o app resolve apenas uma parte do problema. É preciso investir tempo e dinheiro na estruturação de equipes de segurança da informação, implementação de pacotes de soluções integradas, empoderamento do CISO (Chief information security officer) nas decisões estratégicas do negócio e na preservação do que existe de mais valioso na relação entre um banco e seu cliente, a confiança. Uma opção, muitas vezes mais viável, é adquirir soluções no modelo "as-a-service", de empresas que sejam capazes de entregar o pacote completo, incluindo produtos, serviços, infraestrutura e a mão de obra especializada que esses bancos não possuem.
Aldo Carvalho, Chief Revenue Officer da Leadcomm, e Edson Carlotti, CTO da Leadcomm.
