¿Cómo deberían las instituciones financieras reinventar la seguridad en la era de tecnologías web?

A medida que las tecnologías web dominan el panorama, las instituciones financieras se enfrentan a una pregunta crucial: ¿cómo pueden actualizar su seguridad para evitar nuevas amenazas?

1. Las instituciones financieras se enfrentan a nuevos desafíos de seguridad que les exigen reconsiderar su enfoque para proteger los datos confidenciales y la información de los usuarios.
2. Si bien el aumento de las tecnologías web ha aportado importantes beneficios, una mayor interacción con aplicaciones y contenido externos, también presenta posibles vulnerabilidades de seguridad que no se pueden ignorar.
3. Mediante la adopción de un nuevo paradigma de seguridad, inspirado por líderes de la industria como Google, las empresas financieras deben priorizar las actualizaciones regulares y adoptar un modelo de confianza cero para protegerse contra las amenazas emergentes y mantener un entorno web seguro.

Para protegerse en un mundo de tecnologías web, las instituciones financieras deben reimaginar su enfoque hacia la seguridad.

Hubo un tiempo en que la creación de software seguro para el sector financiero tenía mucho en común con la construcción de un castillo: unos muros altos y un foso ancho eran de suma importancia. Mediante el aislamiento de su tecnología de las amenazas externas y la realización únicamente de integraciones a medida con terceros de confianza, las instituciones financieras podrían evitar vulnerabilidades de seguridad graves.

El aumento de las tecnologías web para el desarrollo de aplicaciones ha transformado este cálculo. Las instituciones financieras pueden beneficiarse de numerosas ventajas gracias a la utilización de tecnologías web, desde su versatilidad entre plataformas y dispositivos hasta sus reducidos costos de mantenimiento, pasando por sus sólidas comunidades de código abierto. Sin embargo, la otra cara de la moneda es que esta mayor interacción con otras aplicaciones y contenidos crea nuevos desafíos de seguridad que las instituciones financieras deben reconocer y tener en cuenta.

Por ejemplo, imagine a un equipo de desarrollo que depende de una determinada biblioteca de código abierto para aumentar la productividad en la creación de una nueva aplicación. Si la biblioteca contiene algún código malicioso, esto significa que la aplicación también lo hará. Si no se detecta, la vulnerabilidad llegará a las computadoras de escritorio de los usuarios internos o clientes, lo que pondrá en riesgo información confidencial y provocará graves pérdidas financieras y reputacionales. En este caso, las mismas herramientas que impulsaron una mejor experiencia de desarrollo también crearon un punto adicional de fallo de seguridad.

Todo esto dejó a las instituciones financieras en un punto de inflexión. A medida que los estándares del sector para el desarrollo de aplicaciones siguen evolucionando, las empresas deben adoptar protocolos de seguridad que, en lugar de aislarlas de todas las innovaciones que se producen en los entornos web, las ayuden a seguir el ritmo de la detección de fallos y la conciliación. Exploremos cómo.

El nuevo enfoque de la seguridad web

Chromium, la base de código abierto que alimenta a Chrome, Microsoft Edge y varios otros navegadores web, es un perfecto ejemplo de lo que significa priorizar la seguridad web en el entorno dinámico actual. Las instituciones financieras que no siguen este modelo se exponen a consecuencias potencialmente graves.

Aproximadamente cada cuatro semanas, se publica una nueva versión de Chromium, y cada una de ellas soluciona una media de 20 vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés); solo en el último año, las nuevas versiones han solucionado 270 CVE. Estas mejoras presentan enormes beneficios para la seguridad, pero muchas instituciones financieras, acostumbradas a largos ciclos de implantación y actualización, no las aplican todas, sino que las actualizan con una cadencia más bien anual. Si hacemos los cálculos, nos encontramos con un número significativo de vulnerabilidades que permanecen sin resolver durante meses. Una vez que pase el período de espera para la divulgación y se publique la lista de actualizaciones de seguridad completadas para cada mes, los hackers podrán utilizar ese conocimiento para atacar a las empresas que no se ajustaron.

La importancia de mantenerse al día se ha visto incrementada por los cambios en la forma de divulgar los problemas de seguridad. Proyecto Cero, un equipo de analistas de seguridad centrado en identificar vulnerabilidades de día cero (las más recientes y significativas), es un buen ejemplo. Proyecto Cero lleva a cabo investigaciones sobre vulnerabilidades en software popular como sistemas operativos móviles, navegadores web y bibliotecas de código abierto. Si Proyecto Cero notifica a un banco o proveedor de tecnología que su software es susceptible de ser pirateado o explotado, la empresa dispone de un determinado número de días (en función de la gravedad) para corregir el problema; una vez transcurrido ese plazo, el fallo se hace público. Si la empresa soluciona la vulnerabilidad, todo acaba bien, pero si la empresa no publica un parche, recibe una atención negativa y sus usuarios quedan vulnerables a los hackers, que ahora tienen un plan de ataque. De este modo, organismos de control como Proyecto Cero proporcionan a las instituciones financieras un poderoso incentivo para responder rápidamente a los problemas detectados y asumir un papel activo en la seguridad web.

Todo esto refleja un nuevo enfoque para garantizar la seguridad web. La seguridad por oscuridad, en la que las empresas se refugian en sus propios silos y los proveedores ignoran las vulnerabilidades que aún no han sido descubiertas por los hackers, es insostenible. En cambio, se asume que cada entidad hará todo lo posible por garantizar la seguridad y que la declaración clara de los problemas descubiertos y de las medidas adoptadas para resolverlos refuerza todo el ecosistema. Esto se acerca mucho más a un modelo de confianza cero, en el que se supone que todo el código de terceros es potencialmente malicioso y las medidas para proteger los datos y a los usuarios son un requisito previo absoluto.

Adoptar las eficiencias

Para recorrer este cambiante panorama de seguridad, las instituciones financieras deben buscar activamente nuevas eficiencias. Incluso las empresas conscientes de los crecientes desafíos tendrán dificultades para acomodar los ciclos mensuales de actualización, por no hablar de los parches de emergencia necesarios cuando se identifiquen vulnerabilidades de día cero, a menos que cambien su enfoque.

Chromium no solo impulsa algunos de los principales navegadores web del mundo, sino también plataformas de productividad de computadoras de escritorio líderes como OpenFin. Trabajamos incansablemente para seguir siendo compatibles con Chromium, de modo que cuando este se actualice, nuestros clientes puedan beneficiarse de ello al instante. Tienen la seguridad de que sus datos están protegidos y nunca tienen que preocuparse por resolver problemas imprevistos. Mediante la externalización de este importante trabajo infraestructural, las instituciones financieras pueden enfocarse en la innovación y la diferenciación.

Agregar capas de seguridad adicionales a la pila tecnológica es otra forma en que las instituciones financieras pueden protegerse. Mediante la ejecución de su software dentro de un ecosistema de otras aplicaciones de confianza, las empresas pueden beneficiarse de la apertura de las tecnologías web manteniendo al mismo tiempo un control positivo sobre el intercambio de datos, el acceso y otros aspectos similares. Esta es otra prioridad que se facilita colaborando con socios que han establecido huellas en la industria.

Todo esto puede sonar abrumador, pero es realmente un proceso natural. Las tecnologías web han impulsado grandes avances en la productividad de los desarrolladores, la eficacia de los flujos de trabajo y los estándares del sector. Ahora es momento de que los protocolos de seguridad avancen en la misma medida. La enorme inversión de Chromium en frecuentes actualizaciones de seguridad está haciendo que todo el sector sea más seguro, además de ofrecer a las empresas una oportunidad única de hacer su parte. Las entidades financieras harían bien en reflexionar críticamente sobre la seguridad de sus aplicaciones e identificar la mejor manera de avanzar y, luego, actuar en consecuencia.

OpenFin y LSEG

London Stock Exchange Group (LSEG) ha seleccionado la tecnología de OpenFin para su plataforma principal LSEG Workspace. La asociación aprovechará el modelo de entrega segura de instalación cero de OpenFin y la tecnología de contenedores para simplificar la distribución de los datos y análisis de última generación de LSEG a las computadoras de escritorio de los clientes.

“Nos centramos en la transparencia, la accesibilidad y en ofrecer a nuestros clientes flexibilidad para crear experiencias fluidas que los ayuden a mejorar su productividad… OpenFin nos presenta una forma escalable de reunirnos con nuestros clientes en el lugar que elijan”. – Nej D’Jelal, webinar de LSEG y OpenFin: encender la innovación.

Encender la innovación: haga clic aquí para ver nuestra reciente conversación con Adam Toms, CEO en Europa de OpenFin, y Nej D'Jelal, Group Head of Workspace Platform de LSEG.