(Tempo de Leitura: 6 min.)

As Fintechs chegaram para ficar, preenchendo lacunas onde os grandes bancos não conseguem atender com a mesma eficiência e reduzindo custos para o cliente final. Com o crescente número de ataques cibernéticos, também tornaram-se um dos alvos mais atraentes para cibercriminosos.

Para entender melhor os desafios de cibersegurança para fintechs conversamos com Dilson Caproni do Nubank. Dilson é gerente sênior de segurança da informação e riscos que mantém seu background técnico em arquitetura e conta com mais de 15 anos de experiência em tecnologia. Liderou importantes transformações de Cybersecurity em grandes empresas de Internet, Tecnologia e Financeira. Nos últimos anos vem se dedicando a ajudar bancos digitais a elevarem o nível de maturidade de segurança da informação.

Nosso convidado esclarece a importância do desenvolvimento de uma forte cultura em segurança como é um dos principais fatores para a estratégia de cibersegurança para as fintechs. 

Além disso, Dilson Caproni esclarece como são realizados alguns processos de cibersegurança no Nubank, e como gerenciar a conformidade com o mercado financeiro sem comprometer a inovação. Nosso convidado também compartilha sobre tecnologias e ferramentas em uso pela fintech.

Continue a leitura e descubra as melhores práticas de segurança cibernética nas fintechs em vista do cumprimento de aspectos regulatórios e baixe nosso checklist do BACEN 4.658/3.909

Principais desafios de cibersegurança para fintechs

Dilson compartilha conosco os desafios que ele acredita como mais importantes para a cibersegurança das fintechs. Segundo Dilson, o primeiro desafio de uma fintech é o crescimento de uma forma ordenada com segurança. A segurança nas fintechs não pode ser vista como um gargalo ou um impeditivo da inovação, por isso a importância de diluir os controles de segurança de acordo com os serviços e tecnologia.

Outro grande desafio para as fintechs é como abstrair a complexidade de segurança para os times de tecnologia e engenharia de produtos trabalharem sem impeditivos. Para isso, Dilson relembra a importância de trazer os times para perto da área de segurança, investir em conscientização e principalmente, buscar formas de empoderar esses times. A seguir conversamos sobre mais detalhes sobre cada desafio e trocamos informações com Dilson.

Cultura de cibersegurança para fintechs

A realidade do mercado no país apresenta a existência de muito mais profissionais de desenvolvimento, produto e qualidade em comparação aos profissionais de segurança. Mesmo no Nubank a realidade é semelhante, por isso muitas empresas investem no desenvolvimento de uma cultura de segurança pois enxergam a segurança como responsabilidade de todos os funcionários.

Nosso convidado compartilhou um pouco sobre como funciona a cultura de segurança dentro do Nubank. Dilson esclarece que desde do onboarding de novos funcionários é repassada a ideia da responsabilidade pela segurança como algo compartilhado entre todos. Além da conscientização inicial no onboarding, Dilson comenta a existência de outros programas de conscientização, treinamentos, comunicados, palestras internas e um blog sobre o assunto.

Confira abaixo outras práticas que compõem a cultura de segurança do Nubank.

Autonomia 

Para Dilson, os times de tecnologia devem possuir muita autonomia para desenvolver o que for necessário sem enfrentar burocracias de segurança. Nosso convidado relembra o diferencial das fintechs que é a entrega de produtos e serviços disruptivos com agilidade. 

“Em um banco ou empresa tradicional existem projetos que levam de um ou dois anos para acontecer. Isso é muito tempo quando falamos em fintechs. (…) Aqui no Nubank costumamos dizer que é preciso desenvolver rápido, entregar rápido, errar rápido e corrigir rápido. Esse modelo de trabalho com certeza traz grandes desafios de cibersegurança.”

Dilson conclui sobre como o time de desenvolvimento é muito maior que o time de segurança e por esse motivo é impossível verificar tudo o que está sendo feito. Para contornar essa dificuldade, ele explica a importância de utilizar práticas que envolvem os conceitos de segurança desde o planejamento dos projetos. 

Security by Design 

Dentre as práticas de segurança adotadas pelo Nubank, Dilson destaca os princípios do Security by Design. De acordo com Dilson, pensar nos processos e controles de seguranças necessários desde o início do desenvolvimento das aplicações sai muito mais barato. 

Além da redução de custo com correção de vulnerabilidades, os princípios do Security by Design contribuem para a comprovação do valor entregue pela segurança. Dilson complementa:

“Se preocupar com segurança na hora de escolher uma linguagem ou tecnologia é algo que contribui bastante para o negócio. Ninguém quer precisar tirar um produto ou uma funcionalidade do ar por questões de segurança, primeiro porque isso traz uma experiência ruim para o nosso usuário e segundo a empresa perde oportunidades de negócio.”

Apetite a Riscos 

Para nosso convidado, o apetite a riscos das fintechs com relação a segurança costuma ser bem menor em comparação a empresas tradicionais de mercado e grandes bancos. As fintechs são empresas que ainda estão consolidando seu modelo no mercado e qualquer problema de segurança pode representar o fim dos negócios.

Além disso, Dilson nos conta como a segurança é relevante para os executivos da empresa e compara com outras experiências de trabalho anteriores.

“Em outras empresas que eu trabalhei era muito difícil ter o assunto de segurança na agenda dos executivos. (…) No Nubank, segurança faz parte do dia a dia dos executivos. Eles acompanham notícias a respeito e fazem a tomada de decisões sempre considerando os riscos de segurança. Isso me deixa muito feliz.” 

Sandbox Regulatório

O sandbox regulatório é uma proposta para alinhar as inovações propostas pelas fintechs com as regulamentações de meios de pagamentos existentes. Essa estrutura permite testes práticos em pequena escala de inovações por empresas privadas em um ambiente controlado e supervisionado por reguladores.

Perguntamos ao Dilson a sua opinião sobre a possibilidade do modelo de sandbox regulatório permitir maiores riscos relacionados a fraudes e incidentes de segurança. Dilson nos fala sobre a importância do sandbox regulatório para a inovação das fintechs, porém pontua que os reguladores precisam olhar mais de perto os novos players do mercado e como cada um lida com a segurança.

“Sabemos que novas empresas possuem um orçamento limitado e desafios maiores em segurança e por isso os reguladores precisam acompanhar de perto como os controles de segurança são realizados. (…) Além disso, os reguladores e auditores precisam ter uma cabeça um pouco mais aberta com relação a apresentação desses controles por uma fintech. Às vezes, os controles não vão estar em uma planilha, mas em um repositório de código. É fundamental que os reguladores e auditores saibam entender essas mudanças.” 

Controles de cibersegurança para fintechs

De acordo com Dilson, as fintechs possuem o desafio de mostrar mais segurança do que empresas tradicionais, pois qualquer erro ou incidente de segurança pode tirá-las do mercado rapidamente.

Confira abaixo alguns dos controles de cibersegurança compartilhados pelo nosso convidado.

Conformidade

Um desafio relacionado a conformidade das fintechs é a dificuldade dos auditores e reguladores entenderem como a empresa opera, entrega os produtos e lida com a segurança. Os auditores e reguladores estão se adequando para compreender o novo modelo de trabalho proposto pelas fintechs, e por isso elas possuem muito mais dificuldades para conquistar a conformidade do setor financeiro.

Dilson complementa: “Meu negócio é zero burocrático e totalmente escalável. Nos preocupamos muito com segurança. (…) Não é apenas mostrar que é seguro, tem que ser seguro também. Afinal, ninguém vai querer colocar o seu dinheiro em algo que não confia.”

Novos Projetos

Dilson compartilha conosco um pouco da rotina para o desenvolvimento de novos projetos no Nubank. Devido a forte cultura em segurança que a empresa possui, os times de desenvolvimento e engenharia de produtos costumam buscar o time de segurança sempre no início de novos projetos para validar os controles de segurança necessários.

De acordo com Dilson, cada projeto demanda um nível de controle diferente, mas ele sempre busca por opções livres de burocracia e que permitam ao time de desenvolvimento testar o mais rápido possível as suas hipóteses e requisitos de desenvolvimento. Além disso, Dilson fala sobre a existência de uma abordagem voltada para provas de conceito e uma outra abordagem para aqueles projetos que estarão em produção por mais tempo. 

Checklists e Ferramentas

Com relação a utilização de checklists ou ferramentas de segurança na rotina de segurança na empresa, Dilson nos fala sobre a dificuldade em manter esses checklists devido à diversidade das tecnologias utilizadas pela equipe de desenvolvimento e engenharia de produtos.

“Usamos algumas coisas de mercado como NIST que nos ajuda a ter uma clareza maior sobre os controles de segurança, mas não seguimos a risca justamente porque em muitas situações essas referências não contemplam algumas das tecnologias utilizadas como o blockchain. (…) É preciso ter muita cabeça aberta para conversar com os times, estudar muito sobre a tecnologia e entender que tudo bem errar às vezes desde que seja rápido.”

Sobre o uso das ferramentas, Dilson pontua a necessidade de existir um equilíbrio entre as ferramentas de mercado e outras ferramentas. 

“Tem muita coisa que desenvolvemos internamente. Por exemplo, hoje todo mundo sabe que trabalhamos com Clojure, mas não existem muitas ferramentas de segurança que conversam com essa tecnologia. (…) Muitas vezes preferimos usar ferramentas novas do que ferramentas conhecidas como de prateleira. Essas novas ferramentas são mais abertas a mudanças e adaptação ao nosso modelo do que o contrário.”

Considerações Finais

A plataforma GAT Core permite a gestão do processo de conformidade com rastreabilidade, visibilidade e automação. Nossa plataforma possibilita a gestão de conformidade com a LGPD, ISO 27.001, PCI-DSS e as normativas 4.893 e 3.909 do Bacen.

Com o uso da plataforma GAT, as fintechs entendem de forma objetiva as falhas existentes de cibersegurança e podem direcionar seus esforços para as correções necessárias de forma automática. Além disso, o GAT disponibiliza o acompanhamento das evoluções das correções e registro de atividades que podem ser usadas como evidências para auditorias. Agende uma demonstração hoje e transforme os processos regulatórios da sua fintech com agilidade.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos