Guardicore informó que este año las entidades e instituciones financieras en México tienen el gran desafío de cumplir con la Ley Federal de Protección de Datos, así como con múltiples estándares internacionales de cumplimiento, ya sea tanto en PCI-DSS para el procesamiento de tarjetas de crédito como en transacciones bancarias SWIFT, y GDPR para clientes europeos, entre otros, en torno a la información.
Si bien, existen algunos marcos a los que las empresas mexicanas deben adherirse, con la incorporación del modelo Confianza Cero (Zero Trust), se ha demostrado que es el método más sencillo y rápido de implementar para el despliegue de seguridad y el cumplimiento normativo
De acuerdo con el último informe sobre el Estado de la Ciberseguridad en el Sistema Financiero Mexicano, el 27% de las entidades e instituciones financieras mencionó que ha adoptado las normas Information Security Management System (ISMS) – ISO 27001, el 15% implementó el Information Technology Infrastructure Library (ITIL) & IT Service Management (ITSM), mientras que el 14% los NIST Standards, el 13% el Control Objectives for Information and Related Technology (COBIT), el 11% el Business Continuity Management (BCM) – ISO 22301, el 8% el Payment Card Industry Data Security Standards (PCI-DSS), entre los más importantes.
El estudio también resaltó que en promedio y sin distinción por tamaño de entidad/institución financiera, los servicios más externalizados son: las Pruebas de seguridad/Análisis de vulnerabilidades (34%), el Monitoreo de la infraestructura de seguridad (31%), la Gestión de cumplimiento regulatorio (18%) y los Servicios de seguridad en la nube (18%).
Dave Klein, director sénior de Ciberseguridad de Guardicore, dijo que independientemente del estándar que se desee cumplir, es esencial utilizar el modelo Confianza Cero (Zero Trust) para la visibilidad y la segmentación para limitar el alcance y los recursos. Por ejemplo, el Consejo sobre Normas de Seguridad de la PCI ha presentado la Guía para la determinación del alcance y segmentación de red para PCI-DSS.
Por su parte, Avishag Daniely, directora de Gestión de Producto de Guardicore, destacó que un modelo Confianza Cero contribuye a que la seguridad y el cumplimiento regulatorio sean mucho más fáciles. Precisó que bajo este esquema no se confía en nadie de forma predeterminada desde dentro o fuera de la red, y se requiere la verificación de todos los que intenten obtener acceso a los recursos de ésta. Se ha demostrado que esta capa adicional de seguridad es mucho más útil y capaz de prevenir infracciones.
Dave Klein agregó que una vez que se establece la visibilidad y se tiene una visión precisa de la red, es posible identificar fácilmente lo que necesita protección. Los mandatos de cumplimiento generalmente son muy claros acerca de qué datos están dentro y fuera del alcance, y solo insisten en lo que está dentro del alcance de acuerdo con las regulaciones. Si bien, la seguridad perimetral hizo imposible distribuir la seguridad de manera diferente en todo el centro de datos, aquí es donde prospera el esquema de Confianza Cero y la microsegmentación.
Por último, Avishag Daniely informó que muchas regulaciones requieren segmentación y control de acceso, desde la protección de anillo de aplicaciones como SWIFT o PCI-DSS hasta el control del acceso que se otorga a los usuarios cuando se conectan al centro de datos. “El cumplimiento regulatorio es uno de los casos en los que no se puede pasar por alto la microsegmentación, por lo que esperamos que cada vez más instituciones financieras adopten soluciones de segmentación basadas en software”, concluyó la directora.
