Relatório mostra os desafios para proteger as aplicações da economia digital
Resultados do novo relatório State of Application Strategy, SOAS 2023, levantamento realizado no segundo semestre de 2022, revelam os desafios de se proteger e aumentar o desempenho das aplicações e APIs (Application Programming Interfaces) que movem a economia digital do Brasil e do mundo. O documento da F5, empresa provedora de soluções de segurança cibernética, foi baseado em entrevistas com 1.000 profissionais, de CEOs e CISOs a líderes de negócios que compreendem o papel crítico das aplicações em seus processos. Participaram da pesquisa 92 profissionais do Brasil e da América Latina contribuindo com suas visões para este estudo.
O estudo SOAS 2023 mapeou os dilemas enfrentados, por exemplo, por portais B2C e B2B que processam milhões de transações por segundo. Segundo o levantamento, essas e outras aplicações são alvos de incessantes ataques e as organizações lutam para proteger as aplicações e as APIs sem aumentar a fricção, de modo a não frustrar o usuário/consumidor e levar à perda de negócios. Beethovem Dias, Senior Solutions Engineer da F5 Brasil, conta que no país, o quadro é ainda mais complexo já que as organizações ainda utilizam internamente duas ou três gerações diferentes de tecnologias.
Dias conta que o SOAS 2023 deixa claro que, na economia digital, o avanço em direção à nuvem é um caminho sem volta. Segundo a pesquisa, 85% dos entrevistados têm a missão de gerenciar e proteger aplicações modernas e tradicionais rodando em ambientes variados, incluindo implementações on-premises, no Edge Computing e em nuvens públicas como Microsoft Azure, Google, AWS.
“Mais de 20% dos entrevistados rodam aplicações e APIs em seis ambientes diferentes. Essa tendência explica que o uso de APIs Gateways – soluções que fazem a gestão do acesso do desenvolvedor à APIs em ambiente multi-cloud – tenha passado de 35% para 78%. Um salto semelhante foi observado no uso de WAFs (Web Application Firewalls): entre 2021 e 2022, o uso desta tecnologia avançou de 66% para 82%”, ressalta o executivo da F5.
Para Dias, a crescente adoção dessas tecnologias tem a ver com a complexidade do ambiente de nuvem. “Quer a organização tenha centenas de aplicações na nuvem pública, quer tenha apenas um sistema neste ambiente, torna-se necessário utilizar soluções de segurança nativas para a nuvem”, afirma.
Segundo Beethovem, o outro lado desta situação é o fortalecimento do modelo de nuvem privada ou on-premise. “No estudo SOAS 2018, 74% dos entrevistados planejavam implementar metade de suas aplicações na nuvem pública. Em 2022/2023, as organizações estão implementando, em média, apenas 15% de seus sistemas na nuvem pública. Confirma-se o padrão de repatriação de aplicações da nuvem pública para ambientes on-premises”, observa Dias. Dos entrevistados, 43% afirmaram ter repatriado aplicações no ano passado – uma das principais razões para isso era limitar o espalhamento de Apps em ambientes multi-cloud, notoriamente difíceis de serem administrados. “Os gestores estão enfrentando desafios em controle de dados, segurança e redução de custos”, esclarece Dias.
Ainda de acordo com o executivo da F5, uma das descobertas mais impactantes do estudo SOAS 2023 diz respeito à vulnerabilidade do modelo de Software Supply Chain (Cadeia de fornecimento de software). “Mais do que se proteger a aplicação que já foi implementada, é fundamental adicionar segurança a todo o ciclo de vida da aplicação, desde a fase do desenvolvimento de código”, ensina Dias. Numa resposta de múltipla escolha, revela-se que 82% dos entrevistados ou já estão adotando ou preparam-se para adotar práticas que promovam o conceito de Secure Software Development Lifecycle (SDLC – Ciclo de vida de desenvolvimento de software seguro).
Para atingir estas metas, 45% implementaram o ciclo contínuo de auditoria. Além disso, 36% estão construindo uma prática DevSecOps, enquanto outros 38% estão treinando seus desenvolvedores nas melhores práticas de desenvolvimento de código seguro. O estudo revela, ainda, que as verticais de finanças e de saúde estão à frente nesta evolução.
Para Dias, chama a atenção o fato de que 18% dos entrevistados disseram não lidarem com os riscos de um ciclo de desenvolvimento de software não alinhado às melhores práticas de segurança. “São organizações que ainda seguem o modelo de que o ciclo de desenvolvimento é ‘para ontem’”, descreve o executivo. Beethovem enfatiza que a velocidade dos negócios digitais exige ciclos contínuos de desenvolvimento que podem não ser executados de forma segura. Ele conta que a pesquisa revelou que há casos desse tipo acontecendo também no Brasil – onde primeiro se coloca a aplicação no ar e depois se vê o quanto ela é segura. “Essa realidade, no entanto, está mudando. “Vejo a tendência de os times de desenvolvimento e de cybersecurity trabalharem juntos em prol do desenvolvimento de uma aplicação que seja segura desde o código. Isso é crítico para se proteger os processos de negócios”, disse Beethovem Dias.