-
Un nuevo informe de Dynatrace destaca los desafíos más relevantes del manejo de vulnerabilidades para los bancos y empresas aseguradoras.
Colombia, julio de 2022. En el AWS Summit, que se llevó a cabo este 12 de julio en la ciudad de Nueva York, Dynatrace dio a conocer nuevos datos sobre su encuesta global a directores de seguridad de la información (CISO). Este revela el estado de la gestión de vulnerabilidades en el sector de servicios financieros.
El “Informe de investigación de CISO de 2022: servicios financieros” concentra las respuestas de 325 profesionales de TI pertenecientes a bancos, aseguradoras y proveedores de servicios financieros. Esto indica que la mayoría de las organizaciones han adoptado entornos multinube, arquitecturas nativas de la nube y bibliotecas de código fuente abierto para respaldar los esfuerzos para ofrecer nuevas soluciones digitales a los clientes.
Los datos demuestran, que el hecho de que las organizaciones hayan adoptado estos enfoques ha creado un desafío significativo para los servicios financieros en administrar y reducir el riesgo empresarial a medida que llevan a cabo la innovación.
En total, un 75% de los CISOs en las organizaciones de servicios financieros aseguran que la gestión de vulnerabilidades se ha tornado más difícil a medida que ha aumentado la necesidad de acelerar la transformación digital.
Las estrategias de seguridad por capas no es suficiente
El alza de entornos modernos de nubes ha generado un desafío para TI, departamento de Desarrollo y equipos de seguridad en el sector de los servicios financieros.
Mientras que los microservicios, Kubernetes y los “serverless computing deliver” entregan un beneficio notable para la innovación digital bancaria, estas arquitecturas también hacen la seguridad de la aplicación más compleja.
Para poder superar esto, 58% de las organizaciones de servicios financieros tienen una postura de ciberseguridad por capas, respaldada por cinco o más tipos de soluciones de seguridad.
No obstante, incluso con este robusto enfoque de la ciberseguridad por capas, los datos de Dynatrace revelan que más del 75% de los CISOs en el sector de los servicios financieros creen que su actual postura no es lo suficientemente fuerte para evitar que las vulnerabilidades se hagan presentes en la producción.
“La industria de los servicios financieros está viviendo un cambio importante, impulsada por la evolución en las demandas de los clientes y una intensa competencia entre los proveedores de ‘digital-first”, afirma xxx de Dynatrace. “Sin embargo, esta creciente presión para innovar más rápidamente está creando mayor riesgo de vulnerabilidades lleguen al proceso productivo”, agrega.
Hoy en día, está claro que la seguridad por capas no es suficiente, ya que los equipos simplemente no pueden acceder a todo el contexto que requieren para poder prevenir cada vulnerabilidad. Como resultado de lo anterior, es cada vez más difícil para ellos manejar la seguridad de sus aplicaciones, las cuales pueden poner en riesgo tanto transacciones críticas como datos financieros de alta sensibilidad”.
Además de los desafíos que han creado los entornos nativos de nube, 49% de los CISOs dice que la velocidad que entrega el software facilita que las vulnerabilidades vuelvan a ingresar a la producción.
Según la investigación, solo el 6% de las organizaciones de servicios financieros cuentan con visibilidad en tiempo real de laos tiempos de ejecución.
El impacto de Código de Fuente abierto en la seguridad del tiempo de ejecución de la aplicación
Muchas organizaciones de servicios financieros ya están utilizando otros métodos, tales como el código de fuente abierta, para poder agilizar o asistir los esfuerzos de transformación. Estos enfoques, sin embargo, también pueden producir problemas de seguridad y que las vulnerabilidades emerjan regularmente en las bibliotecas de software de terceros.
Según el estudio de Dynatrace, solo un 31% de los equipos de seguridad pueden acceder en tiempo real a un informe que sea absolutamente preciso y continuamente actualizado de cada aplicación y biblioteca de códigos que esté funcionando durante el proceso de producción. Asimismo, 29% de los CISOs indica que no siempre saben cuál biblioteca de códigos de terceros tienen en producción en cualquier momento determinado.
Los recientes descubrimientos de las vulnerabilidades de Log4Shell y Spring4Shell han destacado el impacto que tiene la susceptibilidad de códigos de terceros.
El estudio de Dynatrace encontró que un 96% de las organizaciones de servicios financieros enfrentaron riesgo de exposición Log4Shell, mientras que un tercio estableció que el riesgo fue “alto” o “severo”.
En muchos casos, las soluciones de seguridad que detectan vulnerabilidades, no tienen el contexto de tiempo de ejecución necesario para permitir que los equipos puedan diferenciar una falla pequeña de un riesgo severo.
Como resultado de esto, muchas de las alertas que reciben son de bajo riesgo y el alto volumen dificulta distinguir los problemas más serios de los que son relativamente inofensivos. Los datos indican que los equipos reciben, en promedio, más de 2.200 alertas mensuales de una potencial vulnerabilidad, haciendo prácticamente imposible poder entender lo que realmente sucede.
La frustración para los CISOs es clara, en cuanto un 75% de los encuestados confirmó que las alertas de seguridad y vulnerabilidades son falsas alarmas que no requieren ninguna acción porque no constituyen verdadera exposición.
Promoción de la cultura DevSecOps y la automatización de TI
En esta era de una acelerada transformación digital, las organizaciones de servicios financieros deben considerar la seguridad como un tema compartido en todo el negocio, el cual requiere convergencia con la observabilidad.
El establecer una cultura de desarrollo, seguridad y fusión de operaciones (DevSecOps) es un paso relevante para poder conseguir esto. Según los datos de Dynatrace, solo un 37% de las organizaciones de servicios financieros tienen una cultura de DevSecOps madura, en donde la mayoría de los equipos han integrado prácticas de seguridad a lo largo del ciclo de vida del Desarrollo de software.
Implementar prácticas de DevSecOps es clave para converger con la observabilidad, ya que entrega a los equipos de operaciones y seguridad el contexto que necesitan para poder entender cómo sus aplicaciones se conectan y dónde están las vulnerabilidades.
Según el estudio de Dynatrace, un 82% de los CISOs del sector de servicios financieros están de acuerdo en que la seguridad debe ser una responsabilidad compartida a lo largo del ciclo de entrega del software, desde el desarrollo a la producción.
“Si la seguridad pasa a ser una responsabilidad compartida y las organizaciones hacen converger la observabilidad y la seguridad, pueden acelerar el manejo de los riesgos y respuesta de incidentes al darle a los equipos el contexto necesario para tomar decisiones más efectivas”, explica xx de Dynatrace.
“Para lograr ser verdaderamente efectivo, las organizaciones de servicios financieros debieran buscar soluciones con inteligencia artificial y capacidad de automatización en su núcleo. Estas soluciones dan a los equipos de bancos y aseguradoras la posibilidad de identificar y priorizar vulnerabilidades en tiempo de ejecución, bloquear ataques en tiempo real y remediar las fallas del software antes que datos financieros o transacciones puedan ser usadas”.
Para acceder a una copia del informe de la investigación sobre CISO en los servicios financieros, visita Dynatrace en el Summit de Nueva York.
Fuente de redaccion Dynatrace
Regístrate para una prueba gratuita de 15 días de Dynatrace.