¿Por qué han cambiado los paradigmas en Ciberseguridad bancaria? ¿Cuáles son los nuevos retos?

La evolución del sector bancario hacia la digitalización y la adopción de nuevas formas de concebir la tecnología, como el paso al Cloud Computing, están dando lugar tanto a grandes mejoras y oportunidades como a importantes retos en materia de ciberseguridad. En este contexto es lógico preguntarnos, ¿qué tiene de diferente el Cloud que tanto afecte a la seguridad? ¿Por qué son necesarios cambios en esta área? Existen cuatro puntos principales que aceleran la necesidad de entender la seguridad de una forma distinta y plantean problemáticas a resolver de cara al futuro.

Necesidades del negocio bancario

Los primeros problemas aparecen a partir de las necesidades del negocio bancario, que pasan por acelerar el Time to Market y generar nuevos modelos de negocio para los que las infraestructuras, en un principio, no habían sido pensadas  en materia de seguridad.

También aparece el efecto del Shadow IT, por el que las distintas unidades de negocio contratan su infraestructura cloud de forma independiente, sin contar con el personal técnico con la suficiente conciencia sobre la seguridad IT. En este caso, es muy probable que se terminen generando problemas de seguridad por la falta de control.

Uso de una ciberseguridad clásica insuficiente

Por otro lado, los mecanismos tradicionales de seguridad están muy orientados al control del perímetro alrededor de la empresa, así como a la protección del puesto del usuario, con barreras como los antivirus, antimalware, firewall, detectores de intrusión, redes seguras DNZ para el acceso de usuarios externos sin acceder al IT interno… Pero todas estas barreras son insuficientes cuando el perímetro es tan amplio y cambiante como sucede en el Cloud Computing.

Nuevas metodologías, tecnologías y plataformas

En este apartado encontramos las nuevas metodologías, tecnologías y plataformas que simplemente por ser diferente requieren una aproximación diferente. Entre ellas encontramos:

• Metodologías DevOps, que promueven una forma distinta y mucho más ágil de hacer el control del ciclo de desarrollo. Esto obliga a securizar de una manera distinta, de forma que la seguridad tradicional perimetral se vuelve insuficiente.
• Uso de Open Source.  Hasta el momento, las grandes compañías de creación de software comercial utilizan Open Source y existe una gran comunidad de personas desarrollando en torno a esto para ofrecer un acceso gratuito a productos y funcionalidades. Sin embargo, es muy difícil conocer el nivel de seguridad, pues no se trata de desarrollos confiables.
• El paradigma de la infraestrucuture-as-code o infraestructura como código. Desde VASS trabajamos mucho para este paradigma, de forma que cualquier elemento de infraestructura desplegado sea simplemente un programa de software que, haciendo un script, pueda ejecutarse cuando se desee montando una infraestructura virtual en la nube. De esta forma puedes apagar el programa o incluso volver a montarlo en otra nube, de forma que ya no pensamos en infraestructura como un servidor o un switch. Se trata de algo que es puro código y que, por tanto, a nivel de seguridad debe de ser tratado de manera diferente.

Constante mutabilidad del entorno debido al Cloud

Hablamos de mutabilidad por el hecho de tener una nube que crece y decrece en base a la demanda, lo que hace que el perímetro también crezca y decrezca, haciendo difícil una seguridad basada en éste. Pero además, aquí juega un gran papel de la automatización como elemento necesario para una mayor seguridad. Los crecimientos y decrecimientos no pueden depender de una seguridad con componentes manuales, sino que ésta debe de estar pensada, meditada y programada para desplegarse de forma automática, hacer los checks necesarios, monitorizar y reaccionar para remediar los problemas existentes automáticamente.

Teniendo en cuenta todo este contexto, el Cloud Computing necesita de una seguridad muy distinta a la que se utilizaba hasta hace poco. Aunque hay elementos comunes y la seguridad clásica sigue teniendo una parte útil se trata solo de eso, una parte, mientras que el resto de la seguridad debe de ser pensada de manera diferente.