Muchas empresas basan sus estrategias de seguridad en la adopción de tecnologías, pero no toman en cuenta los activos de información críticos que deben proteger. Actualmente es vital identificar esos activos para hacer una evaluación exacta de los riesgos a los que pudieran estar expuestos. Ejemplo de ello son las transacciones financieras, que son objetivo de fraudes y desvíos, o el sector industrial, donde los riesgos podrían comprometer seriamente las operaciones.
Para profundizar en este tema y saber cómo fortalecer la ciberseguridad financiera en un entorno en la nube, CIO México realizó la mesa redonda presencial “Principales riesgos en ciberseguridad para el sector financiero, ¿cómo mitigarlos?”.
Marcos Nehme, Head para América Latina y el Caribe de Prisma Cloud en Palo Alto Networks; y Haydee Espinosa, Regional Sales Manager de Palo Alto Networks, efectuaron sendas exposiciones respecto a cómo estabilizar las regulaciones bancarias y lograr una agilidad y protección en la nube.
En esta reunión se dieron cita expertos de la seguridad informática de BNP Paribas Personal Finance México, la Comisión Nacional Bancaria y de Valores, la Comisión Nacional del Sistema de Ahorro para el Retiro (CONSAR), Financiera Independencia, Grupo Bursatil Mexicano, Intercam Servicios Financieros, OpenPay, Prosa, SIF ICAP, Tokio Marine Cía. de Seguros, y Zurich México.
Los 5 riesgos de la nube nativa
La transformación digital está ligada a la disrupción digital, lo que desembocará en múltiples nubes más complejas. De acuerdo con Marcos Nehme, esto traerá varios riesgos a la seguridad de la nube nativa y los encargados de tecnología en la empresa deben asegurarse de conocerlos. El experto remarcó cinco riesgos que consideró los más importantes.
Las vulnerabilidades de las aplicaciones es el primer punto que Nehme sugirió no perder de vista. Y es que según datos provistos por el especialista, hasta el 96% de las aplicaciones de terceros implementadas en la infraestructura de la nube contienen vulnerabilidades. Adicional a este panorama, no se debe pasar por alto que existe una creciente necesidad de entornos amigables para que los desarrolladores ayuden a identificar los problemas de seguridad en el código (aplicaciones y configuraciones de la nube).
También es primordial poner atención a las configuraciones incorrectas en la infraestructura, dejan la puerta abierta para ataques de red y exploits. Lo más habitual es dejar los puertos abiertos y esto proporciona a los piratas informáticos un vector de ataque.
El tercer punto para tomar en cuenta es el malware. “El malware no es nuevo, pero está evolucionando a una velocidad vertiginosa en la nube. Considere la posibilidad de que los criptojacking ofrecen a los atacantes una forma sencilla de distribuir cripto mineros maliciosos”, comentó Nehme.
El exceso de permisos es otro foco rojo para la seguridad. Al 99% de los usuarios, roles, servicios y recursos de la nube se les otorgan permisos excesivos. Este dilema expone a su organización a dos grandes amenazas de seguridad en la nube: personas internas malintencionadas y, con mayor frecuencia, apropiaciones de cuentas.
Prisma Cloud y mejores prácticas para solventar los desafíos
Marcos Nehme sugirió la herramienta Prisma Cloud para resolver los riesgos de la nube antes mencionados. Se trata de una plataforma integrada para proteger infraestructuras, aplicaciones y datos en entornos híbridos de una o varias nubes. Esto es posible gracias a que combina las API de proveedores de servicios en la nube y un marco de agente unificado. Está conformado por módulos flexibles e integrados que comprenden DevSecOps, gestión de la estrategia de seguridad y de derechos en las infraestructuras, protección de cargas de trabajo y seguridad de la red en la nube.
Otro punto medular para alcanzar la mejor postura en ciberseguridad de la nube nativa son las mejores prácticas. Al respecto, Nehme opinó que se debe reconsiderar el enfoque del desarrollo de la seguridad de la nube nativa. “Las organizaciones que integran estrechamente los principios de DevSecOps tienen 7 veces más probabilidades de tener una postura de seguridad fuerte o muy fuerte. Además, es recomendable usar herramientas y tecnología diseñada específicamente para el desarrollo de nube nativa, automatizar la seguridad y obtener visibilidad en la nube con administración unificada”, concluyó.
Nube pública y servicios financieros
En opinión de Haydee Espinosa, de Palo Alto Networks, gracias a las últimas regulaciones que se han autorizado, los servicios financieros finalmente se han comprometido con la nube pública. Es por esta razón que muchas organizaciones financieras están llevando sus procesos a esta plataforma en el último año. Por mencionar algunos, Wells Fargo, JPMorgan y Commerzbank actualmente mantienen sus operaciones en un sistema de nube.
Según datos de Palo Alto, el 28% de las instituciones financieras ya movieron sus cargas de trabajo a la nube pública, y el 21% tienen sólo aplicaciones con datos de misión crítica en este mismo entorno. Sin embargo, actualmente todavía hay una confianza relativamente baja en la seguridad de la nube pública.
Al respecto, la experta comentó que “los proveedores de datos deberán contar con una política de seguridad de la información que proteja en todo momento la infraestructura propia o de terceros. Así como la confidencialidad e integridad de la información que compartan por medio de las APIs”.
Espinosa señaló que hay cinco retos que las instituciones financieras deben superar con relación a la nube pública. Destacó que se debe conseguir visibilidad en entornos de nube, lograr una integración con soluciones legadas On-premise, establecer curvas de aprendizaje para herramientas específicas del proveedor de nube, obtener una postura consistente de seguridad en múltiples nubes y abordar de manera puntual las vulnerabilidades y exposiciones.
Para ayudar a resolver dichos desafíos, añadió que “en México hemos notado que en el sector financiero prevalece un panorama multi nube, esto se debe a que las organizaciones están buscando cumplir con una resiliencia. Ustedes necesitan soluciones que ofrezcan visibilidad en múltiples nubes, en compliance, On premise, protección, APIs, web, etcétera. Todo esto para que tengan soluciones holísticas para facilitar el viaje a la nube”, finalizó Haydee Espinosa.
César Villaseñor, CIO México
