Confiança do cliente como principal propulsor de uma estratégia de segurança

A crescente digitalização dos meios de pagamento e do sistema bancário como um todo traz à tona uma questão que no passado era vista como restrita à área de TI. Ao longo dos anos, o tema de segurança cibernética ganhou força e agora mobiliza profissionais de tecnologia, equipes de produtos e executivos de diferentes áreas. Essa grande transformação também trouxe mais pontos de atenção, como garantir a velocidade do negócio mantendo a segurança do cliente como prioridade.

• Como o PIX está transformando os métodos de pagamento no Brasil
• Como a IA em serviços financeiros potencializa a tomada de decisões do cotidiano

Existem diferentes abordagens para esse assunto, mas pessoalmente acredito que incorporar a segurança em processos críticos, como o desenvolvimento de produtos, é uma das iniciativas mais valiosas e de maior impacto dentro de uma empresa. Ao ter profissionais dedicados a gerenciar a segurança cibernética em diferentes partes da companhia, é possível criar um ponto de contato para combinar as múltiplas iniciativas para prever, entender e mitigar possíveis riscos.

Essa lógica pode parecer óbvia para profissionais de tecnologia, mas, na verdade, é um conceito bastante novo e pode potencialmente se tornar uma tendência, especialmente para empresas de hipercrescimento, como o Nubank. Os gerentes de segurança digital facilitam a autonomia e a criatividade nas unidades de negócios, ao mesmo tempo em que evitam arquiteturas de segurança individualizadas e, portanto, difíceis de gerenciar. Desse modo, é possível nos beneficiar do experimento sem a penalidade do fator experimental.

Mais um benefício dessa estrutura de segurança digital é a possibilidade de gerar dados para acelerar a entrada de novos produtos no mercado e aumentar e otimizar a avaliação de vulnerabilidades. As equipes de segurança trabalham em forte colaboração com as equipes de produto para modelar e diminuir o risco.

Ao alavancar um modelo de dados, é possível identificar correlações que possuem variáveis únicas e que não seriam intuitivas. Exemplos de critérios utilizados nesses processos para definir a avaliação de risco são quantos clientes o produto ou nova função afeta e quais os dados que serão manipulados. Seguindo essa linha, podemos aumentar a visibilidade de potenciais ameaças e repriorizar as ações de acordo.

Ainda no tópico de como a segurança influencia o funcionamento de uma empresa, há o conceito Zero Trust (Confiança Zero), uma estratégia focada em nunca confiar e validar continuamente. Isso significa que qualquer acesso dentro da empresa deve ser validado, seja ele originado por um serviço, funcionário, parceiro ou provedor. A regra é não confiar que um acesso é verossímil apenas por parecer ser. No Nubank, por exemplo, todos os nossos projetos consideram essa mentalidade, e as equipes de segurança concedem acesso granular a serviços e espaços. Essa é uma diretriz poderosa para reduzir a exposição mesmo em casos de ameaças à nossa infraestrutura.

Outra perspectiva essencial em relação à segurança é o impacto na experiência do cliente, que também é de alta prioridade para o setor financeiro. Nesse contexto, a forma como os clientes interagem com os processos de segurança é um fator-chave. Um amplo conjunto de opções está disponível em um espaço mais tradicional, e o uso de senhas complexas é uma delas. No entanto, muitas dessas opções têm alto atrito para o cliente, levando a hábitos que geram insegurança. No Nubank, o desafio que nos move é oferecer uma combinação de melhores soluções de segurança e proporcionar uma boa experiência ao usuário, já que uma coisa não anula a outra.

Paralelamente a todas as tecnologias e diferentes abordagens, as organizações também devem dedicar tempo e recursos para reunir informações sobre como os fraudadores se comportam — e depois incorporar isso nas escolhas de design e nas práticas de segurança para evoluir constantemente.

Nesse sentido, uma iniciativa interessante é o programa conhecido como Bug Bounty. No Nubank, a área de Segurança da Informação lidera a ação, que oferece recompensas financeiras para pesquisadores — ou hackers éticos — que encontrarem vulnerabilidades no sistema. O objetivo final é detectar possíveis brechas antes que se tornem problemas de segurança cibernética. Centenas de instituições renomadas já o utilizam como estratégia para aumentar a proteção de seus sites e aplicativos.

Mas além de todos os requisitos de segurança que as instituições financeiras precisam cumprir, há um componente final que deve nortear a organização quando o assunto é proteção: a confiança do cliente é um dos ativos mais importantes – se não o mais importante – que uma empresa pode possuir. No final do dia, as instituições financeiras administram recursos conquistados depois de muito trabalho, tempo e energia, e todos devemos demonstrar o quanto nos importamos por meio das nossas ações.