À medida que as tecnologias da Web dominam o cenário, as instituições financeiras se veem diante de uma questão crucial: como podem aprimorar sua abordagem de segurança para acabar com as novas ameaças?
- As instituições financeiras estão enfrentando novos desafios de segurança que exigem que elas repensem sua abordagem para proteger dados confidenciais e informações de usuários.
- Embora o aumento das tecnologias da Web tenha trazido benefícios significativos, o aumento da interação com aplicativos e conteúdos externos também trouxe possíveis vulnerabilidades de segurança que não podem ser ignoradas.
- Adotando um novo paradigma de segurança por influência de líderes do setor, como o Google, as empresas financeiras devem priorizar atualizações regulares e adotar um modelo Zero Trust para se proteger contra ameaças emergentes e manter um ambiente da Web seguro.
Para se proteger em um mundo de tecnologias da Web, as instituições financeiras devem reimaginar sua abordagem de segurança.
Há muito tempo atrás, o desenvolvimento de um software seguro para o setor financeiro parecia muito com a construção de um castelo: altos muros e um vasto fosso eram de extrema importância. Ao isolar sua tecnologia de ameaças externas e executar apenas integrações personalizadas com terceiros confiáveis, as instituições financeiras podiam evitar vulnerabilidades críticas de segurança.
A ascensão das tecnologias da Web para o desenvolvimento de aplicativos transformou essa operação. As instituições financeiras podem obter vários benefícios com o desenvolvimento através de tecnologias da Web, desde a versatilidade entre plataformas e dispositivos até a redução dos custos de manutenção para suas comunidades robustas de código aberto. Mas há um outro lado: essa maior interação com outros aplicativos e conteúdos traz novos desafios de segurança que as instituições financeiras devem reconhecer e considerar.
Por exemplo, imagine uma equipe de desenvolvimento que depende de uma determinada biblioteca de código aberto para aumentar a produtividade durante a criação de um novo aplicativo. Se a biblioteca tiver algum código mal-intencionado, isso significa que o aplicativo também terá. Se não for detectada, a vulnerabilidade entrará nos desktops de usuários internos e/ou clientes, colocando em risco informações confidenciais e podendo gerar perda financeira e de reputação graves. Nesse caso, as mesmas ferramentas que impulsionaram uma melhor experiência para os desenvolvedores também criaram um ponto adicional de falha de segurança.
Tudo isso deixou as instituições financeiras em um ponto de inflexão. À medida que os padrões do setor para o desenvolvimento de aplicativos continuam evoluindo, as empresas devem adotar protocolos de segurança que, em vez de isolá-las de todas as inovações que ocorrem em ambientes da Web, as ajudem a acompanhar o ritmo da detecção e correção de bugs. Vamos entender como.
A nova abordagem de segurança na Web
O Chromium, a base de código aberto que impulsiona o Chrome, o Microsoft Edge e vários outros navegadores da Web, é um exemplo perfeito do que significa priorizar a segurança da Web no ambiente dinâmico atual. As instituições financeiras que não seguem esse modelo estão sujeitas a consequências potencialmente graves.
Uma nova versão do Chromium é lançada a aproximadamente cada quatro semanas, com cada uma resolvendo uma média de 20 vulnerabilidades e exposições comuns (CVEs); apenas no ano passado, as novas versões resolveram 270 CVEs. Esses aprimoramentos trazem enormes benefícios à segurança, mas muitas instituições financeiras, acostumadas a longos ciclos de implantação e atualização, não adotam todos eles, realizando atualizações com frequência mais anual. Faça os cálculos e você verá um número significativo de vulnerabilidades deixadas sem resolução por meses. Assim que o período de espera pela divulgação termina e a lista de atualizações de segurança concluídas é publicada para cada mês, os hackers podem usar essas informações para visar empresas que não realizaram os devidos ajustes.
A importância das atualizações aumentou com as mudanças na forma como os problemas de segurança são divulgados. O Project Zero — uma equipe de analistas de segurança focada na identificação de vulnerabilidades de dia zero (as vulnerabilidades mais recentes e mais significativas) — é uma boa representação. O Project Zero realiza pesquisas de vulnerabilidade em softwares populares, como sistemas operacionais móveis, navegadores da Web e bibliotecas de código aberto. Se o Project Zero notificar um banco ou fornecedor de tecnologia de que seu software está suscetível a uma invasão ou exploração, a empresa terá um determinado número de dias (dependendo da gravidade) para corrigir o problema; assim que esse período passar, o bug ficará publicamente visível. Se a empresa tiver resolvido a vulnerabilidade, tudo estará bem, mas se ela não conseguir lançar um patch, receberá atenção negativa, e seus usuários ficarão vulneráveis a hackers, que terão um esquema de ataque. Dessa forma, iniciativas de fiscalização como o Project Zero estão oferecendo às instituições financeiras um poderoso incentivo para responder rapidamente aos problemas identificados e assumir um papel ativo na segurança na Web.
Tudo isso reflete uma nova abordagem para garantir a segurança na Web. A segurança por obscuridade, com as empresas se fechando em seus próprios silos e os provedores ignorando vulnerabilidades que ainda não foram descobertas por hackers, é insustentável. Em vez disso, existe uma premissa de que nenhuma entidade permitirá lacunas na segurança — e de que a transparência na divulgação dos problemas descobertos, assim como as medidas tomadas para resolvê-los, deixarão todo o ecossistema mais forte. Isso está muito mais próximo de um modelo Zero Trust, no qual todo o código de terceiros é considerado potencialmente mal-intencionado e as etapas para proteger dados e usuários são um pré-requisito absoluto.
Adote a eficiência
Para percorrer esse cenário de segurança em constante mudança, as instituições financeiras devem buscar ativamente novas forma de eficiência. Até mesmo as empresas que estão cientes dos crescentes desafios serão pressionadas a acomodar os ciclos mensais de atualização, sem mencionar os patches de emergência necessários quando vulnerabilidades de dia zero forem identificadas — a menos que mudem sua abordagem.
O Chromium impulsiona não só alguns dos principais navegadores da Web do mundo, mas também as principais plataformas de produtividade para desktop, como a OpenFin. Trabalhamos incansavelmente para permanecer em coestabilidade com o Chromium, de modo que, quando ele é atualizado, nossos clientes podem obter os benefícios instantaneamente. Eles têm a certeza de que seus dados estão protegidos e nunca precisam resolver problemas imprevistos. Ao terceirizar esse importante trabalho de infraestrutura, as instituições financeiras podem se concentrar na inovação e na diferenciação.
A adição de mais camadas de segurança à pilha tecnológica é outra forma de as instituições financeiras se protegerem. Ao executar seu software dentro de um ecossistema de outros aplicativos confiáveis, as empresas podem se beneficiar da abertura de tecnologias da Web, ao mesmo tempo em que mantêm controle positivo sobre o compartilhamento de dados, o acesso e outros. Essa é outra prioridade facilitada pela colaboração com parceiros que estabeleceram as diretrizes para o setor.
Tudo isso pode parecer assustador, mas é realmente um processo natural. As tecnologias da Web impulsionaram grandes avanços na produtividade dos desenvolvedores, na eficiência dos fluxos de trabalho e nos padrões do setor. Agora, é hora de os protocolos de segurança avançarem da mesma maneira. O enorme investimento do Chromium em atualizações frequentes de segurança está deixando todo o setor mais seguro, além de oferecer às empresas uma oportunidade única de fazer a sua parte. Seria muito vantajoso se as instituições financeiras pensassem criticamente sobre a segurança dos seus apps e identificassem o melhor plano de ação — e, em seguida, agissem com base nisso.
OpenFin e LSEG
O London Stock Exchange Group (LSEG) selecionou a tecnologia da OpenFin para a sua principal plataforma, LSEG Workspace. A parceria aproveitará o modelo seguro de entrega por instalação zero da OpenFin e a tecnologia de contêiner para simplificar a distribuição de dados e análises de última geração do LSEG para desktops de clientes.
“Estamos focados na transparência e na acessibilidade, assim como em oferecer aos nossos clientes a flexibilidade para criar experiências perfeitas que os ajudem a aumentar a produtividade… A OpenFin nos proporciona uma forma escalável de atender nossos clientes no local da sua escolha.” — Nej D’Jelal, LSEG e OpenFin: Igniting Innovation Webinar.
