Dynatrace dio a conocer nuevos datos sobre su encuesta global a directores de seguridad de la información (CISO) que revela el estado de la gestión de vulnerabilidades en el sector financiero.
El “Informe de investigación de CISO de 2022: servicios financieros” concentra las respuestas de 325 profesionales de TI pertenecientes a bancos, aseguradoras y proveedores de servicios financieros. Esta indica que la mayoría de las organizaciones han adoptado entornos multinube, arquitecturas nativas de la nube y bibliotecas de código fuente abierto para respaldar los esfuerzos para ofrecer nuevas soluciones digitales a los clientes.
Los datos demuestran, que el hecho de que las organizaciones hayan adoptado estos enfoques ha creado un desafío significativo para los servicios financieros en administrar y reducir el riesgo empresarial a medida que llevan a cabo la innovación.
En total, un 75% de los CISO en las organizaciones de servicios financieros aseguran que la gestión de vulnerabilidades se ha tornado más difícil a medida que ha aumentado la necesidad de acelerar la transformación digital.
Las estrategias de seguridad por capas no son suficiente
El alza de entornos modernos de nubes ha generado un desafío para TI, departamento de desarrollo y equipos de seguridad en el sector de los servicios financieros.
Mientras que los microservicios, Kubernetes y los “serverless computing deliver” entregan un beneficio notable para la innovación digital bancaria, estas arquitecturas también hacen la seguridad de la aplicación más compleja.
Para poder superar esto, 58% de las organizaciones de servicios financieros tienen una postura de ciberseguridad por capas, respaldada por cinco o más tipos de soluciones de seguridad.
No obstante, incluso con este robusto enfoque de la ciberseguridad por capas, los datos de Dynatrace revelan que más del 75% de los CISOs en el sector de los servicios financieros creen que su actual postura no es lo suficientemente fuerte para evitar que las vulnerabilidades se hagan presentes en la producción.
“La industria de los servicios financieros está viviendo un cambio importante, impulsada por la evolución en las demandas de los clientes y una intensa competencia entre los proveedores de ‘digital-first”, afirma Fabio Saénz, director regional de Colombia, Centroamérica y Caribe de Dynatrace.
“Sin embargo, esta creciente presión para innovar más rápidamente está creando mayor riesgo de vulnerabilidades lleguen al proceso productivo”, agregó el ejecutivo.
Hoy en día, está claro que la seguridad por capas no es suficiente, ya que los equipos simplemente no pueden acceder a todo el contexto que requieren para poder prevenir cada vulnerabilidad. Como resultado de lo anterior, es cada vez más difícil para ellos manejar la seguridad de sus aplicaciones, las cuales pueden poner en riesgo tanto transacciones críticas como datos financieros de alta sensibilidad”.
Además de los desafíos que han creado los entornos nativos de nube, 49% de los CISOs dice que la velocidad que entrega el software facilita que las vulnerabilidades vuelvan a ingresar a la producción.
Según la investigación, solo el 6% de las organizaciones de servicios financieros cuentan con visibilidad en tiempo real de laos tiempos de ejecución.
Impacto de Código de Fuente abierto
Muchas organizaciones de servicios financieros ya están utilizando otros métodos, tales como el código de fuente abierta, para poder agilizar o asistir los esfuerzos de transformación. Estos enfoques, sin embargo, también pueden producir problemas de seguridad y que las vulnerabilidades emerjan regularmente en las bibliotecas de software de terceros.
Según el estudio de Dynatrace, solo un 31% de los equipos de seguridad pueden acceder en tiempo real a un informe que sea absolutamente preciso y continuamente actualizado de cada aplicación y biblioteca de códigos que esté funcionando durante el proceso de producción. Asimismo, 29% de los CISO indica que no siempre saben cuál biblioteca de códigos de terceros tienen en producción en cualquier momento determinado. Los recientes descubrimientos de las vulnerabilidades de Log4Shell y Spring4Shell han destacado el impacto que tiene la susceptibilidad de códigos de terceros.
El estudio de Dynatrace encontró que un 96% de las organizaciones de servicios financieros enfrentaron riesgo de exposición Log4Shell, mientras que un tercio estableció que el riesgo fue “alto” o “severo”.
En muchos casos, las soluciones de seguridad que detectan vulnerabilidades no tienen el contexto de tiempo de ejecución necesario para permitir que los equipos puedan diferenciar una falla pequeña de un riesgo severo.
Como resultado de esto, muchas de las alertas que reciben son de bajo riesgo y el alto volumen dificulta distinguir los problemas más serios de los que son relativamente inofensivos. Los datos indican que los equipos reciben, en promedio, más de 2.200 alertas mensuales de una potencial vulnerabilidad, haciendo prácticamente imposible poder entender lo que realmente sucede.
La frustración para los CISOs es clara, en cuanto un 75% de los encuestados confirmó que las alertas de seguridad y vulnerabilidades son falsas alarmas que no requieren ninguna acción porque no constituyen verdadera exposición.
El estudio fue dado a conocer en el AWS (Amazons) Summit que se llevó a cabo en días pasados en la ciudad de Nueva York.
