Las organizaciones de servicios financieros operan según determinadas normas reglamentarias. Es algo lógico, ya que los activos y la información que gestionan estas empresas son valiosos, sensibles y pueden ser objeto de sofisticados ciberataques diarios. Estos desafíos se ven agravados por el gran volumen de información de identificación personal (IIP) que las organizaciones financieras gestionan regularmente.
La IIP está sujeta a muchas regulaciones y estándares, en concreto Graham, Leach, Bliley (GLBA), el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS), y la ley Sarbanes Oxley (SOX).
Hoy en día, el Reglamento General de Protección de Datos (RGPD) es también una regulación prioritaria, ya que regula no solo el tratamiento de los datos personales que incluyen IIP de los ciudadanos de la Unión Europea, sino también el tratamiento por parte de cualquier organización que procese datos personales de residentes en la UE.
Si bien las diferentes regulaciones y normas emplean diferentes enfoques, requieren el mismo enfoque en materia de seguridad. En especial, para cumplir con cualquiera de las normas principales, las organizaciones deben tener visibilidad de los riesgos y las vulnerabilidades de su software y sus sistemas (realizando evaluaciones periódicas de la vulnerabilidad) y planificar para abordar las vulnerabilidades (estableciendo y realizando un seguimiento del plan de administración de las vulnerabilidades).
Las organizaciones ven en el desarrollo ágil de software, una forma de obtener una ventaja competitiva, y cada vez más, como un requisito de su negocio. Estas metodologías de desarrollo de software más rápidas, como el desarrollo ágil, se centran en equipos integrados que incluyen a los arquitectos de software, los desarrolladores y los equipos de pruebas funcionales y de seguridad que trabajan juntos para ofrecer funciones prácticas lo más rápido posible, ofreciendo a las organizaciones la posibilidad de ganar cuota de mercado frente a competidores más lentos.
La adición de conceptos de DevOps como la integración continua y la entrega continua (CI/CD, por sus siglas en inglés) en un entorno ágil, ayuda a descomponer los silos integrando el desarrollo y las operaciones de software, aumentar la calidad y eficiencia y poner a disposición de los usuarios los cambios graduales más rápidamente.
Los principales beneficios que ofrece DevOps en el entorno financiero son:
Por tanto, se hace necesario contar con una solución que nos ayude a securizar nuestras aplicaciones y que se integre en todo el ciclo de vida del desarrollo del software, con un impacto mínimo sobre la cadena de producción y que atienda a la filosofía DevOps: integración continua y entrega continua (CI/CD, por sus siglas en inglés) en un entorno ágil.
Lo que buscamos es una solución que nos detecte las vulnerabilidades de nuestro software, desde las etapas más tempranas de su desarrollo, desde la codificación; además, hay que tener en cuenta también los componentes de código abierto, tan utilizado en DevOps, que también debe ser analizado y llegado el caso, modificado o actualizado con versiones seguras de dichos componentes.
Si la solución se integra en el propio entorno de desarrollo del programador, añadiendo funcionalidades de formación en el desarrollo de código seguro, y específicamente sobre las vulnerabilidades encontradas en el código en tiempo real, tendremos una plataforma de análisis de código idónea.
Vamos a ir un paso más allá, añadiendo análisis de la aplicación en el entorno de pruebas, lo que conocemos por tecnología IAST, lo que nos permite inspeccionar archivos de configuración, frameworks, flujos de datos en tiempo de ejecución, y si lo integramos con nuestro analizador de código estático, podemos saber en qué líneas de nuestro código fuente se encuentra la vulnerabilidad. Todo en una misma plataforma, cubriendo todo el ciclo de vida del desarrollo de aplicaciones, en tiempo real, esto es lo que nos brinda la plataforma de Checkmarx.
¿Quieres conocer cómo funciona Checkmarx en la práctica?