A tensão entre “operações descentralizadas” e “conformidade em segurança”

Quando as responsabilidades pela governança, implementação e inovação em segurança são distribuídas por várias unidades de negócios, ocorre uma falta de coesão que torna a conformidade com a segurança mais complexa do que o necessário. Lidar com essa complexidade torna-se ainda mais difícil para aqueles que ainda utilizam infraestrutura legada. É um problema enfrentado por muitos grandes bancos do setor de serviços financeiros.

Pontos de atrito operacional

A vasta escala organizacional dos bancos estabelecidos cria naturalmente um ecossistema operacional complexo. Isso frequentemente resulta em uma tomada de decisão fragmentada, com diferentes equipes gerenciando partes isoladas do cenário tecnológico e de segurança. Embora haja argumentos a favor de como essa abordagem apoia o conhecimento especializado, ela obscurece um problema maior: a aplicação inconsistente da governança de segurança. E inconsistência é uma palavra que queremos evitar no ambiente altamente regulamentado do setor bancário.

Em matéria de segurança, existem algumas responsabilidades compartilhadas essenciais que as equipes lideradas pelo CISO, CIO e CTO devem administrar: conformidade regulatória, gestão de riscos e resposta a incidentes. No entanto, como autoridade em governança de segurança, é o CISO quem define a estrutura orientadora da organização, cabendo ao CIO e ao CTO implementar os requisitos definidos em seus respectivos domínios de infraestrutura de TI e ambientes de produtos. Mesmo com uma estrutura única em vigor, operações isoladas frequentemente levam a uma implementação inconsistente entre os departamentos. Sem uma abordagem unificada, a exposição ao risco aumenta, especialmente quando os sistemas legados significam que a visibilidade (de quem está se conectando a quê e quando) não é o padrão.

Tempo e orçamento são outros pontos problemáticos em relação ao cumprimento das normas. Com o crescente número de regulamentações relevantes para o setor de serviços financeiros, manter-se em conformidade tornou-se uma tarefa que exige muitos recursos. As auditorias podem se estender por semanas ou meses, exigindo investimentos significativos tanto em pessoas quanto em tecnologia para garantir que as políticas de segurança sejam incorporadas às operações diárias. Em sistemas legados, esse ônus significa supervisão manual e soluções improvisadas ou controles compensatórios em sistemas fragmentados. As despesas operacionais contínuas para a manutenção desses controles geralmente recaem sobre o CIO e o CTO, que já estão com orçamentos apertados para reduzir custos, manter a resiliência e atingir as metas de transformação. Se a segurança fosse incorporada à arquitetura desde a sua concepção, os CIOs e CTOs não arcariam com os custos de longo prazo de decisões tomadas fora de seu controle. 

Verificações técnicas da realidade

Embora os desafios de conformidade nas operações diárias sejam bem conhecidos, o que acontece quando os bancos tentam inovar? Cada vez mais, surge uma brecha em torno desses esforços entre o otimismo estratégico da liderança não técnica e o realismo pragmático das equipes técnicas.

Com o surgimento de novos concorrentes, muitos CEOs do setor bancário associam a manutenção da competitividade à adoção de tecnologias emergentes como a IA. De fato, a IA possui um potencial real para impulsionar a inovação, o crescimento e a liderança de mercado. Mas um grande obstáculo se interpõe: os sistemas legados não foram projetados para suportar a integração de IA, aumentando o risco de exposição e a complexidade de manter a conformidade com a segurança. Além disso, a IA introduz um novo domínio operacional com novos desafios relacionados à observabilidade e ao controle. Esses desafios são agravados por infraestruturas fragmentadas, onde os dados dos quais a IA depende residem em sistemas isolados. Como resultado, domínios tecnológicos antes distintos estão agora colidindo com maior rapidez (e com maior volatilidade interna), à medida que as equipes se esforçam para agir rapidamente, mantendo a segurança.

Soluções para segurança em grande escala

Como os bancos lidam com os desafios que enfrentam ao tentar unificar a aplicação de segurança em diferentes divisões e inovar em toda a organização com tecnologias emergentes? Muitos estão adotando a arquitetura zero trust.

Ao contrário das abordagens tradicionais baseadas em perímetro, esta abordagem de segurança não pressupõe confiança implícita dentro da rede e aplica verificação rigorosa em cada ponto de acesso, independentemente do usuário, dispositivo ou localização. O modelo zero trust alinha as responsabilidades do CISO, CIO e CTO, centralizando a aplicação de políticas, melhorando a visibilidade em todos os sistemas e reduzindo a complexidade da gestão da conformidade em ambientes isolados.

Mas zero trust é mais do que uma estrutura de segurança: é um facilitador estratégico de proteção dimensionável, o que fica claro quando consideramos os pontos abaixo: 

• Ao fornecer segurança como serviço e conectividade em escala, o modelo zero trust permite que os bancos adotem novas tecnologias de forma segura e rápida.
• Ele oferece o mesmo nível de proteção, recursos e controle tanto em ambientes locais quanto na nuvem, proporcionando a tão necessária consistência em ambientes híbridos. Isso significa que as equipes não precisam fazer concessões ou escolher entre casos de uso. Tudo funciona de forma consistente, independentemente de onde os dados ou aplicativos estejam localizados.
• Isso proporciona visibilidade em todos os domínios. Isso significa que, embora os domínios tecnológicos possam permanecer segmentados, a visibilidade e o controle não o são, permitindo que as equipes de segurança monitorem e influenciem a atividade sem atritos.

A segurança de dados está intrinsecamente ligada à arquitetura baseada em proxy do zero trust; não é um recurso adicionado posteriormente. Isso significa que os bancos podem agir rapidamente para ampliar novas integrações tecnológicas (mesmo integrações avançadas como agentes de IA) sem comprometer a conformidade ou a integridade operacional. Na verdade, ele oferece acesso tanto a serviços tradicionais quanto a serviços emergentes, ampliando a proteção não apenas dentro do banco, mas também em todo o seu ecossistema mais amplo, incluindo parceiros e plataformas voltadas para a comunidade. 

Linguagem de segurança comum

Em um ambiente operacional descentralizado, a questão de quem realmente está no comando da segurança tem menos a ver com hierarquia e mais com coesão. O zero trust ajuda os bancos a conversarem em uma linguagem de segurança comum, que incorpora a conformidade em todas as ações, em todas as equipes, independentemente de quem esteja liderando o processo.

QUER SEGURANÇA EM GRANDE ESCALA? O setor de serviços financeiros não apenas deseja, como precisa de uma abordagem de segurança moderna para lidar com o presente e se preparar para o futuro. A chave é encontrar a arquitetura certa, com zero trust em sua base, para ajudar você a proteger, simplificar e manter a conformidade com segurança. Encontre seu caminho preparado para o futuro aqui.