Resultados do novo relatório State of Application Strategy, SOAS 2023, levantamento realizado no segundo semestre de 2022, revelam os desafios de se proteger e aumentar o desempenho das aplicações e APIs (Application Programming Interfaces) que movem a economia digital do Brasil e do mundo. O documento da F5, empresa provedora de soluções de segurança cibernética, foi baseado em entrevistas com 1.000 profissionais, de CEOs e CISOs a líderes de negócios que compreendem o papel crítico das aplicações em seus processos. Participaram da pesquisa 92 profissionais do Brasil e da América Latina contribuindo com suas visões para este estudo.
O estudo SOAS 2023 mapeou os dilemas enfrentados, por exemplo, por portais B2C e B2B que processam milhões de transações por segundo. Segundo o levantamento, essas e outras aplicações são alvos de incessantes ataques e as organizações lutam para proteger as aplicações e as APIs sem aumentar a fricção, de modo a não frustrar o usuário/consumidor e levar à perda de negócios. Beethovem Dias, Senior Solutions Engineer da F5 Brasil, conta que no país, o quadro é ainda mais complexo já que as organizações ainda utilizam internamente duas ou três gerações diferentes de tecnologias.
Dias conta que o SOAS 2023 deixa claro que, na economia digital, o avanço em direção à nuvem é um caminho sem volta. Segundo a pesquisa, 85% dos entrevistados têm a missão de gerenciar e proteger aplicações modernas e tradicionais rodando em ambientes variados, incluindo implementações on-premises, no Edge Computing e em nuvens públicas como Microsoft Azure, Google, AWS.
“Mais de 20% dos entrevistados rodam aplicações e APIs em seis ambientes diferentes. Essa tendência explica que o uso de APIs Gateways – soluções que fazem a gestão do acesso do desenvolvedor à APIs em ambiente multi-cloud – tenha passado de 35% para 78%. Um salto semelhante foi observado no uso de WAFs (Web Application Firewalls): entre 2021 e 2022, o uso desta tecnologia avançou de 66% para 82%”, ressalta o executivo da F5.
Para Dias, a crescente adoção dessas tecnologias tem a ver com a complexidade do ambiente de nuvem. “Quer a organização tenha centenas de aplicações na nuvem pública, quer tenha apenas um sistema neste ambiente, torna-se necessário utilizar soluções de segurança nativas para a nuvem”, afirma.
Segundo Beethovem, o outro lado desta situação é o fortalecimento do modelo de nuvem privada ou on-premise. “No estudo SOAS 2018, 74% dos entrevistados planejavam implementar metade de suas aplicações na nuvem pública. Em 2022/2023, as organizações estão implementando, em média, apenas 15% de seus sistemas na nuvem pública. Confirma-se o padrão de repatriação de aplicações da nuvem pública para ambientes on-premises”, observa Dias. Dos entrevistados, 43% afirmaram ter repatriado aplicações no ano passado – uma das principais razões para isso era limitar o espalhamento de Apps em ambientes multi-cloud, notoriamente difíceis de serem administrados. “Os gestores estão enfrentando desafios em controle de dados, segurança e redução de custos”, esclarece Dias.
Ainda de acordo com o executivo da F5, uma das descobertas mais impactantes do estudo SOAS 2023 diz respeito à vulnerabilidade do modelo de Software Supply Chain (Cadeia de fornecimento de software). “Mais do que se proteger a aplicação que já foi implementada, é fundamental adicionar segurança a todo o ciclo de vida da aplicação, desde a fase do desenvolvimento de código”, ensina Dias. Numa resposta de múltipla escolha, revela-se que 82% dos entrevistados ou já estão adotando ou preparam-se para adotar práticas que promovam o conceito de Secure Software Development Lifecycle (SDLC – Ciclo de vida de desenvolvimento de software seguro).
Para atingir estas metas, 45% implementaram o ciclo contínuo de auditoria. Além disso, 36% estão construindo uma prática DevSecOps, enquanto outros 38% estão treinando seus desenvolvedores nas melhores práticas de desenvolvimento de código seguro. O estudo revela, ainda, que as verticais de finanças e de saúde estão à frente nesta evolução.
Para Dias, chama a atenção o fato de que 18% dos entrevistados disseram não lidarem com os riscos de um ciclo de desenvolvimento de software não alinhado às melhores práticas de segurança. “São organizações que ainda seguem o modelo de que o ciclo de desenvolvimento é ‘para ontem’”, descreve o executivo. Beethovem enfatiza que a velocidade dos negócios digitais exige ciclos contínuos de desenvolvimento que podem não ser executados de forma segura. Ele conta que a pesquisa revelou que há casos desse tipo acontecendo também no Brasil – onde primeiro se coloca a aplicação no ar e depois se vê o quanto ela é segura. “Essa realidade, no entanto, está mudando. “Vejo a tendência de os times de desenvolvimento e de cybersecurity trabalharem juntos em prol do desenvolvimento de uma aplicação que seja segura desde o código. Isso é crítico para se proteger os processos de negócios”, disse Beethovem Dias.