O tempo cibernético urge: como reduzir os riscos das tecnologias emergentes em serviços financeiros

Ao correrem para acompanhar o ritmo de um cenário tecnológico em rápida evolução, as empresas de serviços financeiros de todas as partes devem levar em conta não apenas os benefícios que as novas tecnologias emergentes oferecem, mas também os riscos que elas apresentam.

Para entender como as empresas estão tentando encontrar as melhores maneiras de usar e proteger as tecnologias do presente e do futuro, a McKinsey fez uma parceria com o Instituto de Finanças Internacionais (IIF) para realizar uma pesquisa com instituições financeiras de todo o mundo sobre o uso atual e os planos de uso de dez importantes tecnologias emergentes. (Para obter detalhes sobre a metodologia da pesquisa, inclusive a lista das tendências tecnológicas principais com base nas tendências globais do setor, vide “Apêndice: abordagem e metodologia”.) Como as empresas estão abordando as tecnologias emergentes? Quais tecnologias emergentes elas estão adotando? Como pretendem garantir a segurança dessas tecnologias e mitigar os riscos cibernéticos correspondentes? Que capacidades de segurança cibernética serão necessárias para elas adotarem as novas tecnologias e garantirem sua segurança?

Apêndice: abordagem e metodologia

Os insights deste relatório foram extraídos de uma pesquisa de 2023 com 37 empresas de serviços financeiros do mundo todo. Entre as instituições participantes estavam gestoras de ativos e empresas de private equity; bancos de varejo, de atacado e de investimento; empresas de pagamento e câmaras de compensação; mercados de capitais; seguradoras; e um grande provedor de dados. Dessas instituições, 26 informaram receitas anuais inferiores a $ 30 bilhões, e cinco, receitas superiores a $ 60 bilhões (quadro).

Para ajudar a estruturar e otimizar nossa pesquisa, levamos em conta o Quadro de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia dos EUA, as tendências tecnológicas do setor e as perguntas da pesquisa anterior da McKinsey e do Instituto de Finanças Internacionais (IIF).

Das tecnologias emergentes incluídas na pesquisa (vide box “Dez tecnologias emergentes”), a maioria das empresas de serviços financeiros indicou que está priorizando a adoção e o investimento em quatro: computação em nuvem e de borda; IA aplicada; desenvolvimento de software de última geração; e identidades digitais e arquitetura de confiança (Quadro 1). É provável que essas quatro tecnologias sejam adotadas mais rapidamente do que as de conectividade avançada, mobilidade futura, realidade imersiva, tecnologias quânticas, machine learning e Web3. Isso talvez se deva à sua ampla aplicabilidade e maturidade, bem como a seus casos de uso comprovados e baseados em valor para empresas de serviços financeiros.

Embora possam propiciar benefícios exponenciais, essas tecnologias também podem envolver riscos cibernéticos que as empresas precisam mitigar usando suas capacidades atuais de segurança cibernética. A pesquisa mostra que as capacidades atuais são insuficientes para abordar esses riscos. A maioria dos entrevistados também reconhece a necessidade de fortalecer as capacidades críticas de segurança cibernética, inclusive a gestão de terceiros ou da cadeia de suprimentos e a gestão de acesso privilegiado (PAM, na sigla em inglês de “privileged access management”). Ao continuarem aumentando sua dependência de tecnologias mais recentes, as empresas devem garantir que tenham ponderado e implementado as capacidades necessárias de gestão de riscos. Do contrário, elas podem achar que os riscos superam os benefícios.

Considerando-se que o panorama tecnológico do setor de serviços financeiros continuará evoluindo rapidamente nos próximos três a cinco anos e que os riscos associados aumentarão, agora é a hora de preparar o ambiente para o futuro. As instituições financeiras podem lançar as bases de sua ação fazendo a si mesmas quatro perguntas sobre a adoção de tecnologias emergentes:

• Estamos priorizando as tecnologias e capacidades de segurança cibernética certas? Nossas prioridades tecnológicas estão alinhadas a nossas capacidades de segurança?
• Estamos investindo nas tecnologias e capacidades de segurança cibernética certas?
• Temos as métricas certas e a prestação de informações certa? Somos capazes de medir com precisão e confiança nosso apetite pelo risco, oferecer transparência aos executivos e órgãos reguladores e identificar pontos fortes e fracos? Estamos fazendo isso?
• Temos os talentos certos para corrigir as deficiências de capacidade? Temos talentos suficientes e apropriados não apenas para manter agora as capacidades existentes, como também para apoiar futuramente a maturidade e as expansões tecnológicas?

As instituições financeiras estão atentas às tecnologias emergentes

Com um panorama tecnológico cada vez mais movimentado e concorrido, as empresas estão enfrentando pressões para não ficarem para trás.

As instituições financeiras devem não só buscar as melhores maneiras de empregar e proteger suas tecnologias atuais, mas também prestar cada vez mais atenção ao crescente campo de tecnologias emergentes que prometem fortalecer seus negócios – oferecendo benefícios como maior automação, escalabilidade e economia de custos.

Para entendermos melhor como as instituições estão abordando e priorizando as novas tecnologias, realizamos uma pesquisa com empresas de todo o mundo sobre a aplicabilidade de dez tecnologias emergentes aos seus negócios.

Os resultados revelam que as empresas de serviços financeiros não estão explorando todas as tecnologias emergentes igualmente. O que estão fazendo é se concentrar naquelas que consideram mais aplicáveis a elas e que provavelmente gerarão mais valor, ao mesmo tempo em que levam em consideração suas capacidades tecnológicas atuais, suas estratégias de negócios e tecnologia de longo prazo e os potenciais impactos regulatórios.

Nos últimos anos, as empresas de serviços financeiros evoluíram para empresas movidas a tecnologia. Essa abordagem centrada na tecnologia é visível nas maneiras pelas quais elas vêm priorizando seus investimentos; além de adotarem tecnologias de software, elas estão priorizando investimentos no desenvolvimento em escala de tecnologias como DevOps (operações de desenvolvimento de software e de TI) e na industrialização do machine learning e da IA.

As instituições também estão pesando o nível atual de maturidade de cada tecnologia em seus planos, levando em conta os casos de uso comprovados (e não comprovados) que podem agregar valor a seus negócios. As tecnologias mais aplicáveis estavam mais avançadas em sua jornada de maturidade do que algumas daquelas consideradas menos relevantes.

A computação em nuvem e a de borda lideram a lista: 84% dos entrevistados reconhecem a relevância delas para sua empresa. Desses entrevistados, seis em cada dez relataram que mais de 25% de sua carga de trabalho está hoje na nuvem. Essa proporção certamente aumentará à medida que os recursos de nuvem sigam evoluindo e que as empresas continuem transformando sua infraestrutura de TI por meio da migração para a nuvem e de investimentos em infraestrutura nativa da nuvem – atraídas por benefícios como flexibilidade, escalabilidade e eficiências de custos, vantagens que não são oferecidas pelos tradicionais data centers locais.

Sem dúvida, a maturidade e os casos de uso comprovados ajudam a promover a adoção generalizada e, de fato, os entrevistados confirmaram que a computação em nuvem já é a tecnologia emergente mais madura entre as usadas por todos os tipos de empresa de serviços financeiros. Mais de 70% das empresas consideram que estão no estágio pós-piloto da adoção da nuvem, e 42% consideram que suas capacidades já foram plenamente adotadas e se encontram no estágio de manutenção.

A IA aplicada recebe praticamente a mesma atenção: quase 80% dos entrevistados dizem que ela é relevante para sua empresa. A IA e o machine learning têm um longo histórico no setor de serviços financeiros. Os bancos de atacado e de investimento, bem como as seguradoras, foram os primeiros a adotar a IA e o machine learning, décadas antes das outras instituições financeiras. O restante do setor de serviços financeiros os alcançou nos últimos anos, e a adoção só continuou crescendo.

Isso se alinha ao conjunto mais amplo de tendências tecnológicas em serviços financeiros, à medida que as tecnologias de IA aplicada continuam evoluindo e oferecem o potencial de aumentar o valor para as empresas. A IA generativa, próximo estágio da IA, promete uma disrupção sem precedentes do setor (vide box “As promessas – e os riscos – da IA generativa”).

Diferentemente da adoção da nuvem, no entanto, o grau de maturidade da IA aplicada ainda está em evolução. Apesar de muitas empresas de serviços financeiros reconhecerem a relevância da IA aplicada, a maioria de seus casos de uso ainda se encontra nos estágios iniciais de desenvolvimento. Setenta por cento dos entrevistados relataram estar na fase piloto ou em uma fase anterior. Alguns casos de uso, como os de crimes financeiros, riscos financeiros e modelagem de ativos, estão bastante maduros. Os que estão nos estágios iniciais incluem a IA generativa e os grandes modelos de linguagem. Muitas instituições ainda estão explorando o uso dessas tecnologias no suporte a interações com clientes, no marketing personalizado e em questões relacionadas a fraudes. Essas iniciativas oferecem às empresas a oportunidade de obter uma vantagem competitiva no espaço de IA aplicada antes que a tecnologia esteja pronta para implantação. Elas podem implementar, por exemplo, uma supervisão adequada e barreiras de proteção e controles responsáveis com relação à tecnologia de IA, acelerando, assim, sua adoção quando tiver amadurecido suficientemente.

Quase 75% reconhecem que o desenvolvimento de software de última geração é aplicável à sua empresa, atraídos pela possibilidade de transformar o ciclo de vida do desenvolvimento de software e de simplificar tarefas de desenvolvimento personalizadas que costumavam ser complicadas. O desenvolvimento e os testes baseados em IA, as ferramentas low code e no code e outros avanços podem melhorar os processos e a qualidade do software em cada estágio do ciclo de vida do desenvolvimento.

Em grande medida, o desenvolvimento de software de última geração está na fase piloto em muitas empresas. Elas podem transformar seu ciclo de vida de desenvolvimento de software, colhendo os frutos da simplificação de tarefas complicadas no desenvolvimento de aplicativos personalizados. Embora apenas 11% dos entrevistados tenham chegado à adoção plena dessa tecnologia, mais de 50% estão na fase piloto ou de expansão pós-piloto, o que indica que tiveram tempo para analisar os benefícios e os casos de uso da tecnologia.

A arquitetura de confiança e as identidades digitais também estão avançadas em muitas empresas. Quase 50% dos entrevistados afirmam estar na fase pós-piloto ou de manutenção das identidades digitais, e 70% dizem que a arquitetura de confiança se aplica à sua empresa, com casos de uso relacionados a serviços bancários digitais, experiência do cliente omnicanal, visão de 360 graus dos clientes e ofertas de carteira digital. Essas iniciativas vêm demonstrando benefícios como inovação mais rápida, proteção de ativos mais robusta e melhor experiência do cliente, persuadindo ainda mais as instituições a investir nas tecnologias subjacentes, entre elas arquitetura de confiança zero, sistemas de identidades digitais e engenharia de privacidade.

As iniciativas de confiança digital certamente crescerão com o aumento das violações relacionadas a identidades, sobretudo os ataques cibernéticos aos sistemas de identidades. Das empresas que participaram de uma pesquisa da Identity Defined Security Alliance em 2022, 84% relataram ter sofrido uma violação relacionada a identidades naquele ano.¹“New study reveals 84% of organizations experienced an identity-related breach in the last year”, press release da Identity Defined Security Alliance, 22 de junho de 2022. À medida que continuem ampliando sua pegada digital, as organizações devem desenvolver suas capacidades referentes a identidades de forma segura e monitorá-las de perto.

No outro extremo do espectro, menos de um terço dos entrevistados está cogitando adotar as seguintes tecnologias emergentes que podem beneficiar as empresas de serviços financeiros: tecnologias quânticas, futuro da mobilidade e realidade imersiva. Muitas instituições podem não estar vislumbrando a adoção dessas tecnologias em breve e, portanto, não as estão priorizando hoje devido ao caminho mais longo até a adoção. É bem possível que os avanços na computação quântica nos próximos anos transformem essa tecnologia em uma grande preocupação, dado seu potencial de afetar substancialmente questões como violações de senhas e quebra de criptografia.

Ainda que essa perspectiva seja apropriada quando se considera a maturidade atual dessas tecnologias, sobretudo em comparação com tecnologias mais avançadas e amplamente adotadas, como a computação em nuvem e a de borda, as empresas de serviços financeiros não devem simplesmente descartá-las. Estima-se que a computação quântica, por exemplo, gerará mais de $ 600 bilhões em valor para o setor financeiro. Entre os possíveis benefícios está a tomada de decisões automatizada e em tempo real, além de atividades de suporte, como simulações holísticas de liquidez ou simulações de risco em transações de grande porte e alta margem.

Prevê-se que a adoção e a maturidade dessas tecnologias – e, sem dúvida, de outras – só aumentarão, já que as empresas acreditam que deveriam gastar mais com aquelas vistas como mais aplicáveis elas. Muitas observaram não achar que estão gastando o suficiente com as tecnologias aplicáveis. Mais da metade dos entrevistados reconhece a necessidade de maiores gastos para continuarem fortalecendo suas capacidades de industrialização do machine learning, desenvolvimento de software de última geração, IA aplicada, mobilidade futura e arquitetura de confiança e identidades digitais (Quadro 2). Esse imperativo de gastos só acelerará à medida que as tecnologias prontas para investimento continuarem amadurecendo e proliferando.

As tecnologias emergentes amplificam os riscos existentes e acrescentam riscos novos

As tecnologias emergentes podem oferecer benefícios significativos, mas também podem exacerbar os riscos existentes e introduzir novos riscos cibernéticos.

A gestão de riscos cibernéticos não é novidade para as empresas de serviços financeiros, mas a importância de uma estratégia robusta e abrangente nunca foi tão grande e só aumentará à medida que as instituições expandirem sua pegada tecnológica. Os ataques cibernéticos continuam aumentando, e as empresas de serviços financeiros enfrentam criminosos cibernéticos bem financiados, bem treinados e altamente organizados. Esses criminosos também estão adotando tecnologias emergentes para ajudá-los em seus ataques, como nos casos recentes em que utilizaram gen AI em elaboradas campanhas de phishing.

Os incidentes cibernéticos estão aumentando em frequência e gravidade a cada ano que passa, e as instituições devem permanecer vigilantes em suas capacidades de defesa e de proteção de seus ativos e finanças contra crimes eletrônicos (Quadro 3). De acordo com o relatório global de ameaças publicado pela CrowdStrike em 2024, os crimes eletrônicos continuam aumentando e foram a ameaça mais disseminada em 2023. A extorsão por roubo de dados também segue aumentando, sendo que, em 2023, houve um crescimento de 76% no número de vítimas indicadas em sites específicos de crimes eletrônicos em comparação com 2022.²2024 global threat report, CrowdStrike, fevereiro de 2024. Com o aumento do uso de tecnologia pelas empresas, aumenta também o número de vias para um possível ataque cibernético por agentes de ameaças maduros.

Sondamos as instituições financeiras em maior profundidade para entender melhor quais riscos cibernéticos eram os mais preocupantes. Entre os maiores riscos que elas disseram enfrentar estão os relacionados a ataques cibernéticos, IA, gestão de talentos, segurança de dados e gestão de terceiros e da cadeia de suprimentos (Quadro 4). Embora esse fato demonstre que as empresas estão cientes dos riscos que enfrentam e os levam em consideração, também suscita algumas questões: elas têm as capacidades certas para mitigar os riscos? Estão avaliando o potencial de aumento dos riscos à medida que expandem sua adoção de novas tecnologias? Embora, em sua esmagadora maioria, as empresas reconheçam que estão sob ataque e que as tecnologias emergentes introduzem riscos, elas ainda carecem de talentos devidamente qualificados para lidar com esses riscos.

Com o aumento da adoção de tecnologia pelas empresas, os riscos cibernéticos provavelmente crescerão. Especificamente, cada uma das quatro tecnologias que receberam a maior atenção dos entrevistados introduz seus próprios riscos.

Como exemplo, vejamos a migração para a nuvem. À medida que as instituições financeiras transferem suas cargas de trabalho para a nuvem e as fronteiras entre as redes desaparecem, há um risco maior de exposição a agentes de ameaças e de obtenção de acesso às redes por estados-nação. Sem uma gestão adequada e respaldada por uma estratégia robusta de segurança na nuvem e por fortes capacidades de segurança, as empresas enfrentam uma infinidade de riscos cibernéticos, como alteração de configurações, violações de privacidade de dados e perda de dados. Rigorosos controles de acesso, programas de gestão de vulnerabilidades, proteção de dados e capacidades de gestão de terceiros são essenciais para mitigar esses riscos; do contrário, as organizações podem se ver suscetíveis a riscos como perda de dados por conexões internas fracas e disrupções de serviço devido a uma forte dependência da exposição a terceiros.

O uso de IA aplicada e de gen AI introduz riscos regulatórios significativos para as empresas. As autoridades reguladoras estão cada vez mais atentas aos riscos associados à IA e vêm desenvolvendo requisitos, como os estabelecidos na Lei de IA da UE, que provavelmente serão aplicados nos próximos anos. As empresas de serviços financeiros devem desenvolver suas capacidades de segurança – inclusive prestação de informações, governança e privacidade de dados – de acordo com as regulamentações emergentes antes de estas entrarem em vigor.

O software de última geração e a arquitetura de confiança também podem sujeitar as empresas a riscos se não forem desenvolvidos e implementados de forma segura. Ambas as tecnologias podem proporcionar maior eficiência e aumentar a segurança no ambiente tecnológico de uma organização, mas com elas vem o risco de esta última não utilizar as habilidades certas no desenvolvimento e na implementação ou de não integrar as tecnologias ao ambiente de forma completa e segura.

Vejamos a implementação da arquitetura de confiança zero. Problemas de configuração e integração de segurança associados a ferramentas preexistentes podem aumentar os riscos de perda de dados, danos à reputação e ameaças internas.

As empresas de serviços financeiros devem valer-se de seus recursos fundamentais de segurança cibernética para garantir a segurança de suas tecnologias e seus ambientes. As capacidades de segurança cibernética devem ser priorizadas dentro da empresa, à medida que as instituições continuem passando por transformações tecnológicas e reconheçam os benefícios que elas trazem consigo. Sem fortes capacidades e controles de segurança fundamentais em seus programas de segurança cibernética, as organizações estarão expostas a riscos trazidos por seus investimentos em tecnologia.

Com esse risco em mente, é fundamental que as organizações entendam não apenas os benefícios que as novas tecnologias podem trazer, mas também os riscos que as acompanham. Para que as instituições tirem real proveito desses benefícios, elas devem primeiro coordenar suas capacidades atuais investindo de forma estratégica e amadurecendo aquelas que apoiam as novas tecnologias. Apesar de não haver dúvida de que as empresas financeiras reconhecem a importância dos riscos cibernéticos e as medidas que devem tomar para geri-los, a questão é: será que elas estão plenamente cientes dos riscos adicionais que essas novas tecnologias trazem?

As empresas precisam de fortes capacidades fundamentais de segurança cibernética para combater os riscos cibernéticos

As instituições financeiras sentem pressão para acompanhar o ritmo de outras organizações e temem não estar investindo a quantidade certa de recursos na adoção de novas tecnologias.

Cinquenta e sete por cento dos entrevistados admitiram estar preocupados em acompanhar o ritmo das tecnologias emergentes, especificamente no que diz respeito a seus gastos com segurança cibernética.

Embora reconheçam a importância de ter fortes capacidades de segurança cibernética para mitigar os riscos cibernéticos, 31% das empresas não estão confiantes de que suas capacidades sejam capazes de fazê-lo. Para entendermos como as empresas estão priorizando e gerindo os riscos, pedimos que selecionassem os principais pontos fortes e fracos de suas capacidades de segurança em oito domínios e vários subdomínios (Quadro 5).³Dado o grande número de opções de subcapacidade, concentramos nossa análise nas dez capacidades que foram selecionadas pelo maior número de entrevistados. Reconhecemos que cada departamento de segurança cibernética é diferente, tem áreas de atuação e escopo variados e presta serviços diferentes, dependendo de como o departamento é definido no caso da empresa em questão. Embora as capacidades e subcapacidades do modelo possam mudar e evoluir ao longo do tempo, usamos esse quadro como um padrão pontual para analisar a população de entrevistados de maneira coerente.

As capacidades mais fracas que identificaram requerem atenção imediata, pois muitas delas são essenciais para o desenvolvimento e a implantação das cinco tecnologias de maior interesse para os entrevistados (Quadro 6):

• Gestão de terceiros e da cadeia de suprimentos. De longe, o maior ponto fraco em termos de capacidades – no topo da lista para 65% dos entrevistados –, a gestão de terceiros é fundamental à medida que as empresas continuam ampliando o uso de tecnologias emergentes em computação em nuvem e IA aplicada, que dependem fortemente de serviços de terceiros para componentes críticos como computação, uso de dados, uso de modelos, vieses dos modelos e segurança.

  Como as empresas de serviços financeiros dependem cada vez mais de serviços de terceiros, elas devem aprimorar suas próprias capacidades de segurança para evitar que excedam seu apetite pelo risco e tornem seus ambientes vulneráveis a riscos.

• Métricas e prestação de informações. Apesar de a conformidade ser um fator importante no investimento em segurança cibernética, uma parcela significativa dos entrevistados (41%) afirmou que suas métricas e capacidades de prestação de informações são um de seus principais pontos fracos. As empresas precisam de prestação de informações e métricas confiáveis e perspicazes (como conformidade de segurança, métricas de riscos e monitoramento de vulnerabilidades) para comprovar para as autoridades reguladoras a integridade de suas capacidades de segurança e gerir essas capacidades. Novas regulamentações, como a Regra de Divulgação Cibernética (Cyber Disclosure Rule) da Comissão de Valores Mobiliários e Câmbio (SEC, na sigla em inglês) dos EUA,⁴Comissão de Valores Mobiliários e Câmbio dos Estados Unidos, Releases Nos. 33-11216; 34-97989: Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure, Final Rule, 5 de setembro de 2023. a Lei de Informações sobre Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA, na sigla em inglês de Cyber Incident Reporting for Critical Infrastructure Act) de 2022 e regulamentos semelhantes em todo o mundo, vêm ressaltando a importância de melhorar a prestação de informações, a transparência e a governança dos riscos de segurança cibernética.⁵“Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)”, Cybersecurity & Infrastructure Reporting Agency, acesso em março de 2024. Além disso, com um foco crescente, em todo o mundo, na conformidade com os regulamentos, na resiliência operacional e na gestão de riscos de terceiros, cada vez mais instituições financeiras estão sendo desafiadas a comprovar a resiliência de seus fornecedores e a confiabilidade destes em períodos de pressão extrema. Portanto, é mais crucial do que nunca as empresas serem capazes de medir corretamente seus riscos.

  Sem um processo robusto de medição, prestação de informações e governança dos riscos associados às capacidades, as organizações estão voando às cegas, sem saber quanto risco as tecnologias emergentes representarão. A título de exemplo, as empresas precisarão de controles mais avançados para medir os vieses e riscos dos modelos, o tempo médio gasto na resposta a incidentes no ambiente de nuvem e a gravidade das vulnerabilidades. Esses controles permitem que as empresas identifiquem seus pontos fortes e fracos e abordem essas deficiências antes que um problema se materialize.

• Capacidades de gestão de identidades e acesso. Os entrevistados transmitiram uma visão semelhante de suas capacidades de gestão de identidades e acesso (IAM, na sigla em inglês), especificamente a capacidade de PAM de maior risco. Apesar do investimento em identidades digitais e do aumento do domínio tecnológico a ser protegido, as empresas ainda estão tendo dificuldade em proteger contas com acesso de alto risco. Sem a PAM adequada, as capacidades em termos de tecnologias emergentes permanecem vulneráveis à exploração de backdoors por agentes de ameaças. Além disso, como dependem cada vez mais do desenvolvimento automatizado de software (como o desenvolvimento de software de última geração, que 74% dos entrevistados estão financiando), as instituições financeiras precisam implementar práticas seguras de IAM e PAM.

• A nuvem. A nuvem expande o ambiente digital e o vetor de ataque geral cuja segurança as empresas devem garantir. Apesar de adotarem a confiança digital, as organizações têm dificuldade em gerir identidades digitais. A implantação automatizada e uma infraestrutura facilmente escalável na nuvem podem aumentar o risco de exposição de dados. Infelizmente, os desenvolvedores costumam usar contas de administrador de domínio ou contas mestre privilegiadas, além de credenciais-padrão no ambiente de nuvem. Sem uma PAM adequada, eles estão praticamente convidando maus agentes a pegar as chaves do reino.

• Gestão do ciclo de vida dos dados. Embora muitas empresas de serviços financeiros estejam usando o desenvolvimento de software de última geração e a IA aplicada para buscar eficiências e oportunidades de automação, muitas vezes elas deixam a desejar em uma das principais capacidades fundamentais – a gestão do ciclo de vida dos dados –, como 30% dos entrevistados admitiram. Sem uma gestão de dados segura e confiável que siga as melhores práticas desde a criação até a destruição, as empresas terão dificuldade em otimizar os benefícios de tecnologias que requerem fontes de dados confiáveis.

Vejamos a IA aplicada. É essencial garantir a segurança dos dados de treinamento de modelos para evitar adulterações e a introdução de vieses. À medida que os modelos de IA são aplicados a conjuntos de dados e que os dados passam pelos modelos, entender todo o ciclo de vida da segurança de dados, desde a descoberta até a classificação, monitoramento, conformidade e proteção, é igualmente essencial. As principais tecnologias nas quais as instituições estão investindo também têm a maior correlação com as capacidades mais fracas. Há também uma desconexão entre os principais riscos relatados e as deficiências de capacidade que as empresas estão enfrentando. Essa desconexão representa enormes riscos para as organizações, sobretudo porque continuam investindo, testando e implantando rapidamente essas tecnologias em seus ambientes. As organizações devem fortalecer essas capacidades agora para se protegerem no futuro contra o crescente nível de risco associado a essas tecnologias.

Como as empresas estão priorizando e investindo em segurança cibernética?

As capacidades de segurança cibernética das organizações de serviços financeiros estão tendo dificuldade em acompanhar o ritmo acelerado de adoção.

Para entendermos melhor como as empresas estão abordando a segurança cibernética, fizemos três perguntas importantes: o que está fazendo as organizações amadurecerem suas capacidades de segurança cibernética? Como elas estão priorizando os gastos com segurança cibernética? Elas têm os talentos certos para abordar suas capacidades e deficiências? (Vide box “Computação na nuvem e de borda – planos de investimentos em tecnologia, mas não em segurança”.)

A conformidade promove a maturidade da segurança cibernética

Quanto ao que faz as instituições financeiras amadurecerem suas capacidades de segurança cibernética, nossa pesquisa descobriu que havia dois fatores comuns a todas as organizações de serviços financeiros: maior conformidade com os regulamentos e melhor defesa contra ameaças externas. Setenta por cento das empresas disseram que o aumento da conformidade com os regulamentos faz sua organização amadurecer as capacidades de segurança cibernética (Quadro 7).

O desejo de maior proteção contra violações de segurança não é surpresa; é o segundo principal fator da maturidade. Da mesma forma, dada a crescente regulamentação dos serviços financeiros, é compreensível que o aumento da conformidade com os regulamentos promova a maturidade das capacidades, provavelmente em áreas com deficiências conhecidas.

As empresas devem ter a conformidade como o padrão mínimo das expectativas, e não como a meta desejada. Da mesma forma, a conformidade regulatória deve ser incorporada de forma proativa, e não como uma resposta ou uma reflexão tardia, sobretudo à medida que os formuladores de regras se aprofundam nas tecnologias emergentes. Para muitas tecnologias, as regulamentações ainda estão em desenvolvimento (principalmente no espaço da IA). À medida que os regulamentos alcançam o grau de adoção em todas as organizações, as empresas precisam estar preparadas para estar em conformidade com eles. Ao usarem a conformidade como um aspecto essencial da adoção, as organizações podem preparar suas tecnologias para o futuro, antecipando-se às regulamentações emergentes antes que sejam implementadas.

Hábitos de gastos: as empresas admitem o grave subinvestimento em segurança cibernética

O reconhecimento da insuficiência dos gastos com capacidades aumentou nos últimos três anos. Setenta por cento dos entrevistados acreditam que seus gastos são insuficientes e que deveriam gastar mais. Nenhuma organização relatou gastos excessivos. Isso assinala uma mudança em relação às pesquisas anteriores: na Pesquisa de Resiliência Cibernética realizada pelo IIF e a McKinsey em 2020, apenas 58% dos entrevistados reconheceram a insuficiência dos gastos. Em 2023, a maioria das empresas disse que deveria aumentar os gastos com segurança cibernética em mais de 20% para desenvolver as capacidades necessárias (Quadro 8).

Hoje, as empresas de serviços financeiros dedicam, em média, 13% de seu orçamento geral de TI à segurança cibernética. Ao continuarem investindo fortemente em tecnologias, elas devem analisar as implicações de curto e longo prazo dessas tecnologias para a segurança cibernética, a fim de manterem a proteção de seus ambientes.

Felizmente, prevê-se que os gastos com segurança cibernética aumentarão nos próximos dois a três anos, sendo que os bancos regionais (Nível 2) preveem o maior crescimento. Os gastos com segurança cibernética previstos para os bancos de Nível 2 provavelmente vêm com sua aproximação do capital mínimo para chegar ao Nível 1 e com a previsão de um maior escrutínio por parte das autoridades reguladoras (Quadro 9).

É provável que parte do aumento do financiamento previsto vá para programas especiais voltados a lidar com o crescente risco cibernético. Muitas empresas também reconhecem que atualmente não estão preparadas para mitigar os riscos associados às tecnologias emergentes e que devem implementar programas e controles especiais para garantir a segurança de seus ambientes. Porém, com a necessidade cada vez maior de financiamento adicional, programas especiais só aumentarão as tensões orçamentárias existentes.

Mais de 40% dos entrevistados lançaram programas especiais para abordar as deficiências no controle de segurança relacionadas à adoção de tecnologias emergentes (Quadro 10). Menos de 10% não têm planos de investir na proteção das quatro principais tecnologias.

As empresas dependem de talentos para lidar com as deficiências de capacidade

As iniciativas para corrigir as deficiências de capacidade de segurança costumam girar em torno da contratação de novos talentos e da qualificação dos talentos existentes. Todos os entrevistados relataram se apoiar nos talentos existentes, bem como em novos talentos, para garantir a segurança de suas tecnologias. Contudo, 65% mencionaram preocupações com a contratação e retenção de talentos de segurança cibernética devidamente qualificados. Embora as empresas possam terceirizar parte do trabalho de segurança cibernética, mais da metade dos entrevistados pretende utilizar recursos internos para corrigir deficiências de capacidade relacionadas às suas tecnologias emergentes (Quadro 11).

As empresas de serviços financeiros podem se deparar com obstáculos para encontrar e reter os talentos certos para lidar com seus riscos de segurança específicos, já que a atração e retenção de talentos é uma preocupação cada vez maior com a segurança cibernética de forma mais ampla. Elas devem cogitar outras opções, entre elas o uso de tecnologia como reforço para os talentos – tornando a IA um copiloto em operações de segurança, por exemplo.

Chamada à ação: um ambiente preparado para o futuro

O cenário tecnológico no setor de serviços financeiros evoluirá rapidamente nos próximos três a cinco anos, acompanhado por riscos crescentes.

As tecnologias mais adotadas hoje podem não ser as mesmas amanhã e, com o desenvolvimento e o amadurecimento dos casos de uso, é provável que as empresas reavaliem continuamente a aplicabilidade deles e as prioridades de investimento. O momento de agir para preparar o ambiente para o futuro é agora. Nossa pesquisa constatou que mesmo as instituições líderes estão deixando a desejar e que as empresas menores, com muito menos capacidade orçamentária ou de atração dos melhores talentos em segurança, enfrentam desafios ainda maiores.

As instituições financeiras devem lançar as bases para a ação fazendo a si mesmas as quatro perguntas a seguir sobre sua adoção de tecnologias emergentes:

• Temos as prioridades tecnológicas certas e elas estão alinhadas às nossas capacidades de segurança? A expansão para tecnologias mais recentes, como a nuvem e a IA aplicada, geralmente implica uma maior dependência de serviços de terceiros. As empresas devem refletir sobre suas capacidades e a maturidade de sua segurança antes de introduzirem qualquer tecnologia. A capacidade de gestão de riscos de terceiros merece atenção especial.
• Temos as métricas certas e a prestação de informações certa? Seja para contentar as autoridades reguladoras, seja para cobrar responsabilidade das equipes, as empresas de serviços financeiros precisam de métricas transparentes e baseadas em valor para gerir os riscos cibernéticos. Essas métricas podem ajudar a monitorar o desempenho, embasar decisões e identificar problemas emergentes para uma ação rápida. Elas devem medir os riscos cibernéticos a partir de uma perspectiva das tecnologias emergentes e devem ser devidamente informadas aos stakeholders certos, inclusive aos conselheiros e executivos, às linhas de defesa e à equipe de gestão de riscos.
• Estamos investindo nas coisas certas? As decisões de investimento em tecnologia devem levar em consideração as capacidades de segurança, especialmente as capacidades de IAM. O crescente risco de violações de segurança e a necessidade iminente de conformidade regulatória colocam essas capacidades no centro das atenções.
• Temos as tecnologias e os talentos certos para corrigir as deficiências de capacidade? Toda organização precisa investir em talentos, mas contratar e reter os talentos certos é um desafio e exige que se explorem outras maneiras de corrigir a deficiência de talentos – por exemplo, utilizar tecnologias emergentes, como a IA.

As tecnologias emergentes estão chamando muita atenção no setor de serviços financeiros. Cada uma traz oportunidades e riscos cibernéticos. A maioria das empresas terá de desenvolver suas capacidades de segurança cibernética para lidar com os riscos. Agora é a hora de preparar o ambiente para o amanhã, garantindo o sucesso futuro.