Las aplicaciones del sector financiero acumulan más deuda de seguridad
Dado que el costo promedio de una filtración de datos en la industria financiera se estima en 6,08 millones de dólares, la investigación llega en un momento crítico para una de las industrias más atacadas por actores de amenazas sofisticados. Según un informe del Departamento del Tesoro de EE. UU. de marzo de 2024, los actores de amenazas utilizan herramientas basadas en IA para encontrar y explotar vulnerabilidades de software . Al mismo tiempo, la creciente competencia en la industria y las expectativas de comodidad de los clientes requieren que las organizaciones aceleren la innovación.
“La alta tasa de deuda de seguridad en el sector financiero plantea riesgos significativos para las organizaciones y sus clientes si no se aborda rápidamente. A medida que los ciberataques impulsados por IA continúan creciendo en fuerza y cantidad, y las organizaciones luchan por mantenerse al día con las regulaciones cambiantes debido a la deuda de seguridad existente, el panorama actual permite que los actores de amenazas exploten las vulnerabilidades a un ritmo alarmante”, dijo Chris Wysopal , Evangelista de seguridad jefe en Veracode.
“Nuestra última investigación sobre el estado del software destaca la necesidad crítica de que las instituciones financieras aborden ahora las vulnerabilidades de código propias y de terceros. Las organizaciones que dejan las fallas sin solucionar durante más de un año están expuestas a amenazas prolongadas y peligrosas”, agregó Wysopal.
Los investigadores de Veracode descubrieron que el 40% de todas las aplicaciones del sector financiero tienen deuda de seguridad, lo que es ligeramente mejor que el promedio intersectorial del 42%. Además, solo el 5,5% de las aplicaciones del sector financiero están libres de fallas, en comparación con el 5,9% en otras industrias. Si bien un número ligeramente menor de aplicaciones del sector financiero tienen deuda de seguridad, acumulan más.
La deuda de seguridad en el código propio y de terceros exige atención
El informe también destaca la necesidad de que las organizaciones de servicios financieros aborden la deuda de seguridad tanto en el código propio como en el de terceros. El 84 % de toda la deuda de seguridad afecta al código propio, pero el 78,6 % de la deuda de seguridad crítica proviene de dependencias de terceros. Esto refuerza la importancia de los esfuerzos de la Agencia de Seguridad de Infraestructura y Ciberseguridad para ayudar a proteger el ecosistema de código abierto con su Hoja de ruta de seguridad de software de código abierto y su Compromiso de seguridad por diseño.
El análisis explora más a fondo los plazos de reparación en el sector de servicios financieros. Los investigadores descubrieron que las organizaciones financieras solucionan la mitad de los fallos propios en los primeros nueve meses, en comparación con los 13 meses que tardan los fallos de terceros. De ellos, el 52 % de los fallos de terceros se convierten en deuda de seguridad, mientras que el 44 % de los fallos propios se convierten en deuda de seguridad.
La proliferación de ataques a la cadena de suministro dirigidos a la industria de servicios financieros ha generado un número creciente de regulaciones de ciberseguridad con un enfoque más claro en la seguridad del software . Por ejemplo, los marcos regulatorios como la ISO 20022, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago ( PCI DSS), NIS2 y la Ley de Resiliencia Operativa Digital (DORA) requieren que las organizaciones eviten que se implementen vulnerabilidades en las aplicaciones.
Esto pone a las organizaciones en riesgo de incumplimiento debido a la deuda de seguridad existente y a las estrategias de reparación obsoletas. Las investigaciones revelan que las organizaciones pueden abordar este riesgo priorizando el 3,3 % de las fallas que constituyen la deuda de seguridad crítica. Remediar primero las fallas más peligrosas significa que las entidades financieras pueden pasar a abordar otras fallas críticas o no críticas.
“Nunca ha sido más importante para el sector de servicios financieros mantenerse a la vanguardia de las amenazas cibernéticas en constante evolución, en particular con los ataques cada vez más sofisticados impulsados por IA que amenazan la seguridad de sus activos. Insto a las instituciones financieras a que prioricen la reducción oportuna de la deuda de seguridad mediante la adopción de herramientas de remediación impulsadas por IA y ASPM que puedan detectar, priorizar y solucionar vulnerabilidades en cuestión de segundos”, concluyó Wysopal.
Fuente y redacción: helpnetsecurity.com