En el AWS Summit, que se llevó a cabo en Nueva York, Dynatrace dio a conocer nuevos datos sobre su encuesta global a directores de seguridad de la información, donde reveló el estado de la gestión de vulnerabilidades en el sector de servicios financieros.
El “Informe de Investigación de CISO de 2022: Servicios Financieros” concentra las respuestas de 325 profesionales de TI pertenecientes a bancos, aseguradoras y proveedores de servicios financieros. Este indica que la mayoría de las organizaciones han adoptado entornos multinube, arquitecturas nativas de la nube y bibliotecas de código fuente abierto para respaldar los esfuerzos para ofrecer nuevas soluciones digitales a los clientes.
Los datos demuestran que el hecho de que las organizaciones hayan adoptado estos enfoques ha creado un desafío significativo para los servicios financieros en administrar y reducir el riesgo empresarial a medida que llevan a cabo la innovación.
En total, el 75% de los CISO en las organizaciones de servicios financieros aseguran que la gestión de vulnerabilidades se ha tornado más difícil a medida que ha aumentado la necesidad de acelerar la transformación digital.
Estrategia de seguridad por capas no es suficiente
El alza de entornos modernos de nubes ha generado un desafío para TI, departamento de Desarrollo y equipos de seguridad en el sector de los servicios financieros.
Mientras que los microservicios, Kubernetes y “cómputo sin servidores” entregan beneficios notables para la innovación digital bancaria, estas arquitecturas también hacen más compleja la seguridad.
Para poder superar esto, el 58% de las organizaciones de servicios financieros tienen una postura de ciberseguridad por capas, respaldada por cinco o más tipos de soluciones de seguridad.
Sin embargo, incluso con este robusto enfoque de la ciberseguridad por capas, los datos de Dynatrace revelaron que más del 75% de los CISO en el sector de los servicios financieros creen que su actual postura no es lo suficientemente fuerte para evitar que las vulnerabilidades se hagan presentes en la producción.
“La industria de los servicios financieros está viviendo un cambio importante, impulsado por la evolución en las demandas de los clientes y una intensa competencia entre los proveedores de digital-first”, afirmó Héctor Takami, director regional de Dynatrace para México. “No obstante, esta creciente presión para innovar más rápidamente está creando mayor riesgo de que las vulnerabilidades lleguen al proceso productivo.
Hoy en día, está claro que la seguridad por capas no es suficiente, ya que los equipos simplemente no pueden acceder a todo el contexto que requieren para poder prevenir cada vulnerabilidad. Como resultado de lo anterior, es cada vez más difícil para ellos manejar la seguridad de sus aplicaciones, las cuales pueden poner en riesgo tanto transacciones críticas como datos financieros de alta sensibilidad”.
Además de los desafíos que han creado los entornos nativos de nube, el 49% de los CISO mencionó que la velocidad que entrega el software facilita que las vulnerabilidades vuelvan a ingresar a la producción. Según la investigación, sólo el 6% de las organizaciones de servicios financieros cuentan con visibilidad en tiempo real de los tiempos de ejecución.
El impacto del código de fuente abierta en la seguridad
Muchas organizaciones de servicios financieros ya están utilizando otros métodos, tales como el código de fuente abierta para poder agilizar o asistir los esfuerzos de transformación. Estos enfoques, sin embargo, también pueden producir problemas de seguridad y que las vulnerabilidades emerjan regularmente en las bibliotecas de software de terceros.
Según el estudio de Dynatrace, sólo un 31% de los equipos de seguridad pueden acceder en tiempo real a un informe que sea absolutamente preciso y continuamente actualizado de cada aplicación y biblioteca de códigos que esté funcionando durante el proceso de producción. Asimismo, el 29% de los CISO indicó que no siempre saben cuál biblioteca de códigos de terceros tienen en producción en cualquier momento determinado.
Los recientes descubrimientos de las vulnerabilidades de Log4Shell y Spring4Shell han destacado el impacto que tiene la susceptibilidad de códigos de terceros.
El estudio de Dynatrace encontró que el 96% de las organizaciones de servicios financieros enfrentaron riesgo de exposición Log4Shell, mientras que un tercio estableció que el riesgo fue “alto” o “severo”.
En muchos casos, las soluciones de seguridad que detectan vulnerabilidades no tienen el contexto de tiempo de ejecución necesario para permitir que los equipos puedan diferenciar una falla pequeña de un riesgo severo.
Como resultado de esto, muchas de las alertas que reciben son de bajo riesgo y el alto volumen dificulta distinguir los problemas más serios de los que son relativamente inofensivos. Los datos indican que los equipos reciben, en promedio, más de 2,200 alertas mensuales de una potencial vulnerabilidad, haciendo prácticamente imposible poder entender lo que realmente sucede.
La frustración para los CISO es clara, en cuanto un 75% de los encuestados confirmó que las alertas de seguridad y vulnerabilidades son falsas alarmas que no requieren ninguna acción porque no constituyen verdadera exposición.
Promoción de la cultura DevSecOps y la automatización de TI
En esta era de una acelerada transformación digital, las organizaciones de servicios financieros deben considerar la seguridad como un tema compartido en todo el negocio, el cual requiere convergencia con la observabilidad.
El establecer una cultura de desarrollo, seguridad y fusión de operaciones (DevSecOps) es un paso relevante para poder conseguir esto. Según los datos de Dynatrace, solo un 37% de las organizaciones de servicios financieros tienen una cultura de DevSecOps madura, en donde la mayoría de los equipos han integrado prácticas de seguridad a lo largo del ciclo de vida del desarrollo de software.
Implementar prácticas de DevSecOps es clave para converger con la observabilidad, ya que entrega a los equipos de operaciones y seguridad el contexto que necesitan para poder entender cómo sus aplicaciones se conectan y dónde están las vulnerabilidades.
Según el estudio de Dynatrace, el 82% de los CISO del sector de servicios financieros están de acuerdo en que la seguridad debe ser una responsabilidad compartida a lo largo del ciclo de entrega del software, desde el desarrollo a la producción.
“Si la seguridad pasa a ser una responsabilidad compartida y las organizaciones hacen converger la observabilidad y la seguridad, pueden acelerar el manejo de los riesgos y respuesta de incidentes al darle a los equipos el contexto necesario para tomar decisiones más efectivas”, explicó Takami.
Agregó: “para lograr ser verdaderamente efectivo, las organizaciones de servicios financieros debieran buscar soluciones con inteligencia artificial y capacidad de automatización en su núcleo. Estas soluciones dan a los equipos de bancos y aseguradoras la posibilidad de identificar y priorizar vulnerabilidades en tiempo de ejecución, bloquear ataques en tiempo real y remediar las fallas del software antes que datos financieros o transacciones puedan ser usadas”, finalizó.