top of page
Redacción IT NOW

Los cinco elementos que toda fintech debe contemplar en su estrategia de ciberseguridad

Probar la seguridad continuamente, enfocarse en la exposición al riesgo y tener un plan de respuesta a incidentes son algunas de las claves para este tipo de empresas.


Según el Banco Interamericano de Desarrollo y Finnovista de 2022, se duplicó el número de plataformas fintech desde su medición en 2018.

De acuerdo a Vladimir Villa, CEO de Fluid Attacks, “el ransomware es el tipo de ataque que más ha afectado a la región, y en los últimos meses fueron víctimas Macrotel en Argentina, Claro y EPM en Colombia, Eneva en Brasil y Personal en Paraguay. Estos ataques logran en muchos casos la suspensión de servicios y pérdida de información. Ante esta amenaza, las fintech deben garantizar la ciberseguridad como parte esencial del desarrollo de sus productos y evitar así exponer la información de sus clientes”.


Vladimir Villa, CEO de Fluid Attacks.

Fluid Attacks, dedicada a realizar pruebas de ciberseguridad integrales en sistemas de tecnología de la información, reveló una serie de recomendaciones en ciberseguridad para este tipo de organizaciones.

1. Probar la seguridad de la tecnología de manera contínua: Las empresas deben integrar la ciberseguridad desde el comienzo del ciclo de vida de desarrollo, siguiendo la cultura DevSecOps y combinando la automatización con evaluaciones manuales. Esto les permite darse cuenta de su exposición al riesgo y desplegar tecnología segura varias veces al día.


“La remediación llega a ser alrededor del 80% para los problemas detectados de alta criticidad. Por su parte, las pruebas deben abarcar los componentes de terceros además del código fuente propio. Un caso crítico es que ya ha pasado un año desde que los cibercriminales empezaron a explotar una falla en millones de aplicaciones escritas en Java, llamada Log4Shell, y, según el servicio de Google Open Source Insights, casi la mitad de unos 18.000 paquetes que usan la librería afectada aún son vulnerables”, comenta Vladimir Villa.

2. Enfocarse en la exposición al riesgo en vez del número de vulnerabilidades: Los problemas de seguridad detectados en un sistema pueden ser pocos, pero pueden representar un gran riesgo de perder elevadas sumas de dinero y la confianza de los usuarios. Por eso las empresas de tecnología financiera pueden sacar mayor provecho al enfocarse en disminuir su exposición a ataques, priorizando los problemas más críticos.


3. Establecer configuraciones seguras por defecto: Al desarrollar tecnología, este tipo de empresas deben tener en cuenta el modelo de seguridad compartida de la nube. Esto, en parte, implica que los desarrolladores pongan funciones de seguridad a disposición del usuario y establezcan por defecto una configuración que proteja la continuidad de los servicios y la privacidad de la información.


“Este es un paso muy importante, porque nuestros analistas de seguridad encuentran las configuraciones inseguras de servicios de la nube entre los cinco problemas que más exponen al riesgo en las aplicaciones de los clientes”, explica el vocero de Fluid Attacks.


4. Elaborar un plan de respuesta a incidentes: Es responsabilidad de cada fintech establecer las acciones a seguir ante diferentes escenarios, incluso uno realmente catastrófico. En ese plan de respuesta deben definir cuál es el equipo de expertos que se dedicará a entender la causa del ciberataque y cómo remediarla. Su trabajo es más rápido y efectivo si, con antelación, se han creado modelos de amenazas en que figuran los riesgos y vulnerabilidades más probables en su producto o línea de acción, para lo cual son útiles simulaciones de ataques reales (en inglés, breach and attack simulations). Además, todo plan debe incluir la descripción de aquellas acciones que el equipo llevará a cabo para contener los efectos del ataque y comunicarse con los usuarios.

5. Comprobar la presencia de expertos en ciberseguridad en la junta directiva: Siguiendo en la misma línea de las propuestas recientes por la Comisión de Bolsa y Valores de Estados Unidos, las organizaciones en general deberían poder demostrar con detalles que en su junta directiva hay al menos un experto en ciberseguridad. Además de ayudar a la protección de la tecnología, esto contribuiría a proteger a los inversionistas y procurar un mercado justo.

“Las empresas de tecnología financiera deben estar preparadas, cambiando su postura en ciberseguridad de reactiva a preventiva, evaluando constantemente su riesgo con las técnicas que usan los agentes maliciosos y buscando mitigarlos de manera inmediata”, concluyó el CEO de Fluid Attacks.


Comentários

Não foi possível carregar comentários
Parece que houve um problema técnico. Tente reconectar ou atualizar a página.
bottom of page