El cumplimiento de FinServ depende de la seguridad del software

Las instituciones de servicios financieros tienen motivos de peso para garantizar que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos contra una violación, lo que puede resultar costoso en términos de filtración de información de identificación personal, gastos de limpieza, multas e indemnizaciones, y dañar la reputación de una organización. Otro motivo recurrente es la necesidad de cumplir con una serie de normativas gubernamentales y del sector.

Debido a que manejan tanta información confidencial, personal y financiera, así como el dinero de las personas, los servicios financieros son una industria altamente regulada. Según los servicios que presten, las empresas deben cumplir con una combinación de normas y requisitos.

El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es conocido por sus normas sobre la protección de los datos de los titulares de tarjetas, por ejemplo. Los requisitos del Ley Sarbanes-Oxely rigen la gestión de los registros financieros. Las empresas que operan internacionalmente están familiarizadas con Ley de Resiliencia Operacional Digital (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para las transferencias de fondos establecidas por la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, conocido como Swift.

Y leyes como la Ley de privacidad del consumidor de California (CCPA) y de la UE Reglamento general de protección de datos (GDPR) establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otros, como los reglamentos establecidos por la Oficina del Contralor de la Moneda (OCC) de los Estados Unidos y el Banco Central Europeo (BCE).

Si eso no es suficiente, el Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la ineficacia de la seguridad del software. Además, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado directrices sobre Diseño seguro principios para el desarrollo de software.

Un denominador común para las empresas de servicios financieros es que el código seguro es un elemento fundamental para ayudar a cumplir los objetivos de esas normativas y facilitar la demostración del cumplimiento de las mismas. Además, subraya por qué los desarrolladores necesitan formación y perfeccionamiento para garantizar que se aplique la seguridad al código desde el inicio del proceso de desarrollo.

Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.

La codificación segura (y la formación de desarrolladores) son la base de PCI DSS 4.0

PCI DSS 4.0, que pasó a ser obligatoria el 1 de abril de 2024, incluye varias actualizaciones importantes de PCI DSS 3.2.1, entre las que destaca el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.

PCI ha reconocido durante mucho tiempo la importancia del software seguro en el pasado. La versión 2.0, que se lanzó en 2017, incluía orientación para desarrolladores sobre cómo garantizar la seguridad de las transacciones en dispositivos móviles. Las directrices de la versión 4.0 ahora hacen hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas directrices específicas sobre la formación de los desarrolladores.

Los requisitos suelen estar establecidos de forma amplia, aunque es posible que las empresas deseen implementar un enfoque más exhaustivo.

Por ejemplo, un requisito de la versión 4.0 establece que «los procesos y mecanismos para desarrollar y mantener sistemas y software seguros están definidos y comprendidos». Una buena forma de garantizar que esto sea cierto es que los desarrolladores reciban una formación precisa en los lenguajes y marcos de programación que utilizan para cubrir cualquier vacío de conocimiento.

Otro requisito establece que los desarrolladores que trabajan en software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que abarque:

• Seguridad del software relevante para su función laboral y lenguajes de desarrollo.
• Técnicas seguras de diseño y codificación de software.
• Cómo usar las herramientas de prueba de seguridad (si se están utilizando) para detectar vulnerabilidades en el software.

Sin embargo, en realidad, una vez al año no es lo suficientemente frecuente como para abordar los principales problemas de seguridad y acabar con los malos hábitos de programación. La capacitación debe ser continua y mesurada, con un proceso de verificación de habilidades para garantizar que se está haciendo un buen uso.

La PCI DSS 4.0 incluye más de media docena de requisitos adicionales que abordan áreas como la prevención y mitigación de varios tipos de ataques, la documentación de los componentes de software de terceros, la identificación y administración de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar esas medidas a fondo. La capacitación sobre los vectores de ataque debe ser frecuente, en lugar de anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Además, las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.

La nueva versión también brinda a las organizaciones cierta flexibilidad para cumplir con sus requisitos, centrándose en los resultados en lugar de marcar casillas, al tiempo que agrega nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.

El cumplimiento comienza al principio del SDLC

Lo que estas regulaciones tienen en común es que intentan establecer estándares altos para proteger los datos y las transacciones en la industria de servicios financieros. Y, al igual que en el caso de la última versión del PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida del desarrollo del software (SDLC). La estrategia nacional de ciberseguridad y los principios de seguridad desde el diseño de la CISA también asignan la responsabilidad de la seguridad a los fabricantes del software (antes de su envío), de modo que incluso las empresas que no se rigen directamente por las regulaciones de los servicios financieros deben cumplirla.

Las organizaciones deben cerrar la brecha que existe entre los equipos de DevOps (que se centran en la velocidad del desarrollo) y los equipos de AppSec (que se apresuran a incorporar la seguridad al proceso) capacitando a los desarrolladores para que hagan de la seguridad algo inherente a su enfoque. Sin embargo, esto requiere un conjunto complejo de habilidades, que implica más de lo que pueden ofrecer las sesiones de capacitación anuales o los programas educativos estándar y estancados. La capacitación debe ser continua y ágil, estar diseñada para que los alumnos se involucren en situaciones activas del mundo real, y debe impartirse en pequeñas ráfagas que se ajusten a sus horarios de trabajo.

Las empresas de servicios financieros deben garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir con las normativas cada vez más estrictas. Los costes del incumplimiento pueden ser tan perjudiciales como los de una infracción en términos del impacto en la reputación de una empresa y de los costes monetarios. De IBM Informe sobre el costo de una violación de datos de 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, en promedio, a multas y otros costos por un total de 5,05 millones de dólares, es decir, medio millón de dólares más más que el costo promedio de una violación de datos real.

El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en la industria de los servicios financieros sea de suma importancia, algo que reconocen reglamentos como el PCI DSS. La mejor manera de garantizar la seguridad del software es mediante una codificación segura al principio del SDLC. Y la manera de lograrlo es capacitando eficazmente a los desarrolladores en prácticas de codificación seguras.

Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico Secure Code Warrior, publicado recientemente: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.

Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.

‍