Dynatrace dio a conocer datos sobre su encuesta global a Directores de Seguridad de la Información (CISOs), pertenecientes a bancos, aseguradoras y proveedores de servicios financieros; donde revela que el 75% de las organizaciones financieras aseguran que la gestión de vulnerabilidades se ha tornado más difícil a medida que ha aumentado la necesidad de acelerar la transformación digital.
Los resultados del “Reporte de Investigación de CISO de 2022: Servicios Financieros”, presentado en el AWS Summit en Nueva York, indican que se ha adoptado por entornos multinube, arquitecturas nativas de la nube y bibliotecas de código fuente abierto para respaldar los esfuerzos para ofrecer nuevas soluciones digitales a los clientes. Sin embargo, esto ha creado un desafío significativo para los servicios financieros en administrar y reducir el riesgo empresarial a medida que llevan a cabo la innovación.
Dynatrace destaca que el alza de entornos modernos de nubes ha generado un desafío para los departamentos de TI, Desarrollo y Seguridad en el sector de servicios financieros; ya que mientras que los microservicios, Kubernetes y “cómputo sin servidores” entregan beneficios notables para la innovación digital bancaria, estas arquitecturas también hacen más compleja la seguridad.
Para poder superar esto, 58% de las organizaciones financieras tienen una postura de ciberseguridad por capas, respaldada por cinco o más tipos de soluciones de seguridad. Pero, incluso con este robusto enfoque de la ciberseguridad por capas, los datos revelan que más del 75% de los CISOs en el sector de los servicios financieros creen que su actual postura no es lo suficientemente fuerte para evitar que las vulnerabilidades se hagan presentes en la producción.
Además de los desafíos que han creado los entornos nativos de nube, 49% de los CISOs dice que la velocidad que entrega el software facilita que las vulnerabilidades vuelvan a ingresar a la producción. Según la investigación, sólo el 6% de las organizaciones de servicios financieros cuentan con visibilidad en tiempo real de los tiempos de ejecución.
Muchas organizaciones de servicios financieros ya están utilizando otros métodos, tales como el código de fuente abierta para poder agilizar o asistir los esfuerzos de transformación; los cuales también pueden producir problemas de seguridad y que las vulnerabilidades emerjan regularmente en las bibliotecas de software de terceros.
Según el estudio de Dynatrace, sólo un 31% de los equipos de seguridad puede acceder en tiempo real a un informe que sea absolutamente preciso y continuamente actualizado de cada aplicación y biblioteca de códigos que esté funcionando durante el proceso de producción. Asimismo, 29% de los CISOs indica que no siempre saben cuál biblioteca de códigos de terceros tienen en producción en cualquier momento determinado.
Vulnerabilidades como Log4Shell y Spring4Shell han destacado el impacto que tiene la susceptibilidad de códigos de terceros. El estudio de Dynatrace encontró que 96% de las organizaciones de servicios financieros enfrentaron riesgo de exposición Log4Shell, mientras que un tercio estableció que el riesgo fue “alto” o “severo”.
En muchos casos, las soluciones de seguridad que detectan vulnerabilidades no tienen el contexto de tiempo de ejecución necesario para permitir que los equipos puedan diferenciar una falla pequeña de un riesgo severo.
Como resultado, muchas de las alertas que reciben son de bajo riesgo y el alto volumen dificulta distinguir los problemas más serios de los que son relativamente inofensivos. Los datos indican que los equipos reciben, en promedio, más de 2,200 alertas mensuales de una potencial vulnerabilidad, haciendo prácticamente imposible poder entender lo que realmente sucede; lo que conlleva a frustración por parte de los CISOs pues un 75% de ellos confirmó que las alertas de seguridad y vulnerabilidades son falsas alarmas que no requieren ninguna acción porque no constituyen verdadera exposición.
En esta era de una acelerada transformación digital, indica Dynatrace, las organizaciones de servicios financieros deben considerar la seguridad como un tema compartido en todo el negocio, el cual requiere convergencia con la observabilidad.
El establecer una cultura de desarrollo, seguridad y fusión de operaciones (DevSecOps) es un paso relevante para poder conseguir esto. Según los datos de Dynatrace, solo un 37% de las organizaciones de servicios financieros tienen una cultura de DevSecOps madura, en donde la mayoría de los equipos han integrado prácticas de seguridad a lo largo del ciclo de vida del desarrollo de software.
Según el estudio de Dynatrace, 82% de los CISOs del sector de servicios financieros están de acuerdo en que la seguridad debe ser una responsabilidad compartida a lo largo del ciclo de entrega del software, desde el Desarrollo a la producción.
Implementar prácticas de DevSecOps es clave para converger con la observabilidad, ya que entrega a los equipos de operaciones y seguridad el contexto que necesitan para poder entender cómo sus aplicaciones se conectan y dónde están las vulnerabilidades.
Cabe señalar que el reporte concentra las respuestas de 325 profesionales de TI pertenecientes a bancos, aseguradoras y proveedores de servicios financieros.