Las empresas de servicios financieros conocen todos los desafíos asociados con el cumplimiento. Sin embargo, en un sector ya de por sí altamente regulado, sus esfuerzos por gestionar regulaciones como PSD2 y GDPR pueden estar creando un nuevo riesgo cibernético no intencionado. Casi la mitad (45%) de los líderes europeos de TI que trabajan en la industria que hemos encuestado recientemente han revelado que están luchando por mantenerse al día con un panorama de amenazas en rápida evolución. Pero a medida que las empresas de servicios financieros adoptan estrategias cloud y de movilidad impulsadas por DevOps, las amenazas no harán más que aumentar.
Asumir estos retos y ganar requerirá una respuesta a nivel de toda la organización con una clara involucración por parte de la junta directiva y las herramientas y habilidades adecuadas en el departamento de seguridad.
Bajo ataque
Casi dos tercios (61%) de los equipos TI de los servicios financieros europeos han dicho que consideraban que las ciberamenazas a las que se enfrentaba su organización habían aumentado durante el último año. Tienen razón: el regulador de la industria del Reino Unido, el FCA, reveló 819 incidentes notificados el año pasado, lo que supone un enorme aumento con respecto a los 69 notificados en 2017. De estos, el número de ciberataques se quintuplicó durante el período, dominando el phishing (48%) y el ransomware (20%). Una investigación independiente realizada en abril desveló que los servicios financieros fueron el sector más atacado en EMEA entre octubre de 2017 y septiembre de 2018, representando el 30% de todos los ciberataques.
Es fácil ver por qué. Las organizaciones de este sector almacenan enormes y valiosas cantidades de datos personales y financieros sobre los clientes; operan una infraestructura crítica y, por lo tanto, están altamente expuestas a interrupciones relacionadas con el rescate. También dirigen grandes y complejas cadenas de suministro, lo que las expone aún más a ciberriesgos. Son un objetivo para el Business Process Compromise (BPC): sofisticadas campañas a largo plazo diseñadas para mapear y manipular los procesos internos para transferir fondos en secreto a los atacantes. Quizás la víctima más famosa de un ataque de BPC fue el Banco de Bangladesh, que perdió 81 millones de dólares en un audaz ciber-atraco.
El problema con DevOps
Por si fuera poco, las compañías de servicios financieros buscan cada vez más aprovechar las nuevas oportunidades que ofrece la normativa PSD2, también conocida como Open Banking en muchos países. Están preparados para iniciar una nueva era de competencia al abrir los datos de los clientes bancarios a otros proveedores de pagos aprobados. Por tanto, la industria se centra cada vez más en la agilidad y la velocidad para satisfacer las demandas de los clientes de nuevos productos y servicios innovadores impulsados por los disruptores fintech.
Los costes de TI aumentarán a medida que tanto estas nuevas empresas como los bancos tradicionales busquen sacar provecho y cumplir con los nuevos requisitos normativos para implementar API abiertas y poner en marcha sólidos procesos de autenticación de clientes. Equilibrar estas nuevas demandas con el reto persistente de la ciberseguridad está resultando ser un dolor de cabeza para muchos. Más de dos quintas partes (42%) de los líderes de TI de la industria han confirmado que estaban encontrando problemas relacionados con el nuevo entorno normativo.
Parte del problema desde la perspectiva de la ciberseguridad son los nuevos entornos de tecnología nativa en la nube que están construyendo los departamentos de TI del sector financiero. Los procesos DevOps, junto con innovaciones como los microservicios y las aplicaciones en contenedores, ayudan a impulsar la agilidad, mantener bajos los costes y hacer posible trabajar con múltiples proveedores de cloud computing para mitigar el riesgo de bloqueo de proveedores. Sin embargo, también representan un riesgo potencial para la seguridad por derecho propio.
Con demasiada frecuencia, la seguridad no se tiene en cuenta, o no se incluye lo suficientemente temprano en los debates sobre DevOps. De hecho, una investigación independiente encargada por Trend Micro reveló recientemente que, si bien la mayoría (72%) de los líderes de TI reconoce que una implicación mínima en la seguridad de los DevOps crea riesgos, un tercio no siempre consulta a los equipos de seguridad.
Recuperar la iniciativa
Si lo hicieran, los líderes en seguridad TI harían bien en aconsejar la inversión en seguridad basada en API que puede ser incorporada automáticamente en los flujos de trabajo de DevOps para el escaneo continuo de imágenes de contenedores y la protección del tiempo de ejecución. En pocas palabras, trasladar su infraestructura de seguridad existente al nuevo mundo de la nube y DevOps dejará lagunas en la protección y creará obstáculos que asfixiarán la innovación. Debe estar preparado para el cloud, ser ágil y estar basado en API siempre que sea posible.
No se trata solo de asegurar DevOps, por supuesto. El phishing, el ransomware, el BEC, el BPC y otras amenazas requieren una respuesta de defensa en profundidad. Esto debería combinar una mezcla de técnicas intergeneracionales, desde herramientas basadas en firmas y listas blancas de aplicaciones hasta técnicas de análisis de comportamiento y machine learning.
Tal vez, lo más importante es que debe haber un liderazgo claro desde arriba. La seguridad fracasará si hay un vacío de propiedad y participación, por lo que es preocupante que hayamos encontrado que solo el 61% de los servicios financieros tienen representación a nivel de consejo de administración para la seguridad, y dos quintas partes de los líderes de TI luchan por comunicar las amenazas.
Liderazgo también significa invertir en las áreas adecuadas: esto no solo implica herramientas de seguridad de un proveedor de confianza, sino también talento. La industria está paralizada por una larga crisis que ha provocado un déficit estimado de 142.000 profesionales cualificados en toda la región EMEA. Considere la posibilidad de volver a capacitar a los equipos internos y/o relajar las reglas en torno a la experiencia requerida para desempeñar ciertos roles de seguridad TI.
Los líderes en seguridad TI están atrapados en medio de las demandas empresariales de mayor agilidad y la necesidad de mitigar los riesgos crecientes derivados de la transformación digital. Es una tarea ingrata, pero en la que deben dar la talla: el éxito de cualquier organización moderna de servicios financieros depende de una seguridad proactiva y basada en el riesgo.