Grandes bancos do Brasil e do mundo costumam contar com milhares de aplicações web legadas. Pesquisa da Forrester sobre sistemas legados no setor financeiro mostra que, em relação ao uso de ATMs, por exemplo, aproximadamente 95% das transações ainda são executadas em antigos programas escritos em COBOL. Essa linguagem de programação de computadores era usada pelas instituições financeiras nas décadas de 1980 e 1990. A Forrester considera que algo em torno de 220 bilhões de linhas de código em COBOL ainda estão em produção no mercado bancário mundial.
No passado, o CIO e o CISO de instituições com esse perfil poderiam confiar em uma rígida defesa de perímetro para proteção destes ativos críticos. Essa abordagem não funciona mais. Para permanecerem vitais, as aplicações legadas passaram a se conectar às aplicações modernas e às APIs de parceiros. Isso significa exposição à Internet pública, além do cruzamento de dados no interior do data center via tráfego leste-oeste. Mas as aplicações legadas não foram projetadas para esse novo contexto.
Risco de perda de negócios
Esse descompasso pode ajudar a explicar por que, segundo o Gartner, os gastos com TI e cybersecurity no mercado de serviços bancários têm uma previsão de crescimento de até 8,7% em 2024, podendo atingir USD 1 trilhão em 2028. Porém, mesmo com esses investimentos, muitas instituições financeiras ainda lutam para entregar a inovação necessária para engajar correntistas e investidores que, para mudar de banco, só precisam baixar um novo App em seu smartphone. Nesta jornada, um desafio tem sido a atualização e a proteção de sistemas legados.
Com tantos bancos ainda usando gerações anteriores de aplicações, as novas verificações de segurança podem gerar atrito para o correntista, causando frustração e talvez a perda de negócios. Cresce a cada dia, também, a complexidade da infraestrutura digital da instituição financeira, com a convivência entre data centers on-premises e data centers em nuvens públicas (nuvem híbrida) – os ambientes onde aplicações legadas e modernas são processadas. O gestor tem de lidar com o desafio de proteger simultaneamente a infraestrutura legada e novas tecnologias de nuvem como SaaS e PaaS.
Outro complicador é que, hoje, as identidades que acessam as aplicações bancárias podem ser humanas ou não-humanas. Torna-se essencial contar com uma estratégia de identidade digital capaz de atender com segurança requisições de acessos de pessoas e de máquinas.
Todo esse contexto explica por que, mais e mais, o CIO e o CISO do banco têm buscado inserir suas aplicações – incluindo as legadas – no modelo Zero Trust de segurança digital.
O que a abordagem Zero Trust aporta aos bancos
Essa abordagem representa, hoje, a forma mais moderna de defesa. Para isso, controles de acesso robustos e mecanismos de autenticação contínua garantem que somente entidades autorizadas obtenham acesso a sistemas e dados. O Zero Trust engloba uma meticulosa verificação de identidade de usuários por meio de autenticação multifator (MFA), atuando sempre a partir do princípio do menor privilégio. A meta é oferecer um acesso temporário e restrito ao usuário, de modo a suportar esse profissional na realização de suas tarefas.
O modelo Zero Trust inclui, ainda, a estratégia de segmentação da rede em zonas distintas. Tudo isso faz desta abordagem algo crítico para o banco que deseja proteger suas aplicações e sustentar padrões de conformidade regulatória como PCI DSS e LGPD.
Segundo o Gartner, até 2025 pelo menos 70% das novas implementações de acesso remoto dependerão de serviços Zero Trust. Esse modelo é o que mais cresce em segurança. Segundo estimativas da Markets and Markets, espera-se que, até 2027, as empresas globais invistam até 60 bilhões de dólares por ano no modelo Zero Trust.
Apesar de seus benefícios, implementar o modelo Zero Trust num grande banco com aplicações legadas e modernas pode ser uma tarefa desafiadora.
- Dificuldade de implementação
Colocar em ação este modelo requer muito planejamento e coordenação entre equipes multidisciplinares do banco. Isso pode ser um processo complicado e demorado.
- Integração com sistemas existentes
O ambiente digital pode precisar ser modificado para a abordagem Zero Trust funcionar. Pode ser difícil integrar nesta abordagem sistemas mais antigos.
- Experiência do usuário
Implementar Zero Trust poderá afetar a sensação dos usuários, especialmente se o processo de autenticação de identidade for demasiadamente difícil ou restrito. É fundamental encontrar um equilíbrio entre segurança e função. Quem não fizer isso prejudicará a produtividade do usuário interno e sofrerá a perda de usuários externos (clientes, parceiros etc.).
O Brasil já conta com instituições financeiras que enfrentaram esses desafios e, hoje, contam com um ambiente heterogêneo seguro e com excelente UX.
Uma empresa que depende simultaneamente de aplicações legadas e de aplicações modernas, além de consumir e publicar APIs, usa uma plataforma integrada e com baixa complexidade de administração para proteger seus ambientes distribuídos. A abordagem dessa plataforma é nativa Zero Trust. A partir do dashboard principal, é possível realizar análises granulares do que se passa nos diversos ambientes desta instituição bancária. Para isso, a plataforma de segurança roda numa rede global que atua tanto sobre redes públicas como na nuvem on-premises da organização. A união numa única interface desses modelos provê uma abordagem que protege e fortalece a performance de todo o catálogo de aplicações e APIs. A nova abordagem de segurança também identifica e bloqueia possíveis ataques contra as aplicações e APIs. Isso acelera os processos de publicação desses Apps. Para o correntista, todas essas iniciativas entregam a melhor UX.
Em 2025, veremos cada vez mais bancos buscando estar 100% alinhados ao modelo Zero Trust. Essa jornada está acontecendo aqui e agora, e engloba tanto aplicações legadas como modernas, os dois corações dos processos dos bancos. Trata-se de uma evolução que comprova o fim da era em que a cybersecurity era vista como um freio para os negócios. Hoje e no futuro, ou o negócio é protegido a partir de novos parâmetros como o Zero Trust, ou não há negócio.
Hilmar Becker, Diretor Regional da F5 Brasil.