F5: bancos repatriam aplicações da Nuvem pública para ambientes privados

A F5, que atua em soluções que garantem a segurança e a entrega de aplicações de negócios, anuncia as descobertas do estudo State of Application Strategy Finances Edition 2022. Esse relatório foi construído a partir de entrevistas realizadas no primeiro semestre de 2022 com 131 CIOs e CISOs de organizações financeiras globais, incluindo 16 líderes de instituições da América Latina.

Para Roberto Ricossa, Vice-Presidente da F5 América Latina, uma das descobertas mais impactantes desse estudo é o crescimento, entre 2021 e 2022, de 168% no número de instituições que já estão repatriando ou planejam mover suas aplicações da Nuvem pública ou híbrida para a Nuvem privada. Enquanto em 2021 somente 29% dos entrevistados afirmaram estar fazendo a repatriação de Apps ou planejarem essa ação, em 2022 75% do universo pesquisado está realizando essa operação. Esse quadro pode resultar da forte adoção da estratégia de “Lift and Shift” de aplicações legadas para a Nuvem, sem passar pela fase de transformação dessas plataformas em aplicações modernas. 40% dos entrevistados disseram realizar “Lift and Shift” para a Nuvem de suas plataformas de negócios.

“A pandemia acelerou na América Latina – especialmente no Brasil, no México e na Colômbia – a tendência de migrar aplicações para a Nuvem pública. Acontece, agora, um movimento pendular, com os gestores buscando um ponto de equilíbrio entre a Nuvem pública e a privada”, analisa Ricossa.

A decisão de repatriar aplicações costuma ser baseada em quatro preocupações. “Os líderes das organizações financeiras desejam ter mais clareza sobre os custos, o controle, a flexibilidade e a segurança dos ambiente multinuvem que estão adotando”, diz Ricossa. O desafio é identificar que dados e aplicações devem seguir sendo processados na nuvem privada e que plataformas funcionariam melhor na nuvem pública. “Um ponto crítico para os gestores é imprimir à Nuvem híbrida os mesmos controles de cyber segurança de seus ambientes on-premises”.

Na visão de Hilmar Becker, gerente nacional da F5 Brasil, a mera portabilidade de aplicações para os ambientes de Nuvens públicas como AWS, Azure e Google não leva em conta a complexidade e especificidade de cada um desses ambientes. “Um dos maiores desafios é administrar as políticas de segurança de acordo com a configuração e as regras de cada uma das grandes Nuvens”. Essa realidade provoca atrasos na portabilidade das aplicações para esses novos ambientes. Em alguns casos, a solução para preservar os processos de negócios é repatriar aplicações como o Internet Banking para os ambientes on-premises, plenamente dominados pelo time de ICT Security das organizações financeiras.

Bancos digitais investem em ambientes on-premises
Vale destacar, ainda, que até mesmo organizações financeiras que nasceram na Nuvem pública ou híbrida estão, nesse exato momento, transferindo parte de suas aplicações para seus ambientes de Nuvem privada. “Nesse caso, o grande motivador da repatriação é a necessidade de controlar custos. O elevado valor dos serviços das Nuvens públicas e a dificuldade de controlar o consumo de recursos de terceiros justifica que esses nativos digitais passem também a considerar os ambientes on-premises”, explica Becker.

O estudo deixa claro, também, que 96% dos líderes entrevistados afirmaram ter realizado nos últimos 12 meses mudanças em suas organizações para melhor enfrentar as ameaças. Esses avanços tanto dizem respeito ao uso de novas tecnologias de defesa como, também, em novas iniciativas de treinamento dos colaboradores com foco na identificação e bloqueio de ransomware e phishing.

94% já usam ou planejam usar Inteligência Artificial e Machine Learning
A inovação mais disruptiva, segundo os entrevistados, é o uso de soluções de Inteligência Artificial (IA) e Machine Learning (ML). 94% dos líderes consultados afirmaram já usar soluções AI/ML ou planejar fazer isso em breve. “Temos visto em toda a América Latina os clientes finais – sejam correntistas ou investidores – sofrerem com a vulnerabilidade a crimes digitais das organizações financeiras que os atendem”, afirma Ricossa. “Pessoas estão sendo alvo de Account Takeovers, tendo suas identidades roubadas numa série de fraudes baseadas em Dados vazados, tecnologias de IA e ML e em engenharia social”.

Bancos que não contam com soluções de combate a fraudes com recursos de IA e ML acabam tendo uma visibilidade limitada sobre o que está, de fato, se passando em seu ambiente e causando problemas a seus clientes. “A mitigação desse quadro passa pelo uso de plataformas que discernem com precisão, de forma personalizada e em escala de milhões de transações por segundo o que é um acesso humano legítimo, o que é um Bot ou um acesso humano espúrio”.

98% dos gestores entrevistados para o estudo da F5 reconhecem que não contam com os insights necessários para ter uma visão analítica sobre o que se passa em seu ambiente. Essa situação pode levar a confusões como imaginar que um ataque é um problema de performance.

A busca por oferecer a melhor UX ao cliente final, seja uma pessoa ou uma empresa, tem levado 99% dessas organizações a priorizarem o uso de IA e ML em aplicações das áreas de marketing, finanças e RH. Nessa resposta de múltipla escolha, 86% afirmaram já usar ou planejar implementar IA e ML em aplicações de segurança cibernética. “A disseminação de soluções de IA e ML para segurança digital depende de os gestores de negócios compreenderem que a UX e o valor da marca do banco sofrem quando ataques acontecem”, diz Becker. “São plataformas que resolvem problemas estruturais muitas vezes invisíveis, que costumam causar prejuízos recorrentes”.

O desafio de proteger as APIs
Ao longo de todo o estudo da F5 aparece o papel central das APIs (Application Programming Interfaces) no setor financeiro. “No Brasil, em especial, as APIs estão no centro do ecossistema de Open Finance e, também, do serviço PIX”, reflete Becker. 48% dos líderes entrevistados disseram consumir APIs para modernizar suas aplicações – outros 53% disseram também adicionar componentes de aplicações modernas (caso de micro serviços ou novas interfaces) ao seu Internet Banking.

Na visão de Becker, o setor financeiro brasileiro usa de forma extensiva as APIs. Mas o foco na proteção dessas linguagens é algo que só se consolidou mais recentemente. “Num primeiro momento, a meta era usar as APIs para modernizar e aumentar a performance das aplicações. A crescente maturidade do setor, no entanto, tem levado as empresas a buscar soluções que protejam as APIs de ataques”.

O estudo da F5 indica que essa realidade pode estar por trás do interesse dos gestores nas soluções que suportam o conceito WAAP (Web Application and APIs Protection), do Gartner. Para os entrevistados, as três tendências em segurança que mais os atraem são as plataformas WAAP, soluções Zero Trust e, finalmente, SASE (Secure Access Service Edge).