security-265130_1280.jpg

Zurich cria cultura de segurança com programa Shift Left

A Zurich Seguros implementou internamente o programa SHIFT LEFT 360° – Cloud, Code & Culture, uma iniciativa abrangente para integrar a segurança da informação desde as fases iniciais do ciclo de desenvolvimento de software. O projeto atua como um vetor de transformação cultural, conectando o risco técnico a indicadores de negócio e antecipando a identificação de vulnerabilidades. O objetivo central é fortalecer a resiliência digital da companhia, reduzindo a necessidade de correções em produção e o retrabalho.

Desenvolvido com o apoio da parceira tecnológica Veracode, o programa buscou mudar a abordagem da empresa em relação aos riscos cibernéticos, transitando de uma atuação majoritariamente corretiva para uma postura preventiva. A estratégia envolveu a capacitação contínua ao longo de um ano de desenvolvedores, líderes, product managers e product owners, com foco em ampliar o conhecimento em segurança e reforçar a responsabilidade compartilhada entre tecnologia e negócio.

Estrutura, impacto e resultados do programa

A iniciativa incorporou elementos de gamificação para engajar os times e acelerar a adoção de boas práticas. Segundo Igor Espósito, gerente executivo de Segurança da Informação da Zurich, as mudanças na rotina foram concretas: “Passamos a identificar e tratar vulnerabilidades muito mais cedo, reduzindo retrabalho, aumentando a eficiência operacional e qualificando a entrega dos produtos”. A companhia consolidou a segurança de aplicações como uma capacidade contínua de negócio.

“Mais do que uma iniciativa tecnológica, estamos fortalecendo a governança, antecipando riscos e criando uma cultura em que decisões de negócio e decisões técnicas caminham juntas para garantir resiliência e confiabilidade no longo prazo”, afirma Zilea Barrilari, diretora de TI da Zurich. O programa resultou na redução consistente de vulnerabilidades prioritárias no ambiente digital e segue sendo expandido para outros domínios de negócio e a cadeia de fornecedores.

Lições e aplicação para CISOs

O case da Zurich oferece lições valiosas para CISOs que buscam implementar uma cultura robusta de DevSecOps. O sucesso do SHIFT LEFT 360° demonstra que a segurança efetiva vai além da tecnologia, dependendo criticamente de pessoas, cultura e engajamento contínuo. A conexão explícita entre riscos técnicos e métricas de negócio é fundamental para orientar a priorização e obter adesão das lideranças.

Para CISOs, a replicação desse modelo envolve: 1) Estabelecer um programa de capacitação contínua e envolvimento que inclua todos os papéis do ciclo de desenvolvimento, não apenas os times de segurança; 2) Integrar ferramentas de segurança (SAST, SCA) de forma a fornecer feedback rápido e acionável aos desenvolvedores; 3) Criar mecanismos de governança, como métricas de redução de vulnerabilidades críticas e tempo médio de correção, para medir o impacto e sustentar a transformação cultural ao longo do tempo.