El cumplimiento de FinServ depende de la seguridad del software
Las instituciones de servicios financieros tienen motivos de peso para garantizar que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos contra una violación, lo que puede resultar costoso en términos de filtración de información de identificación personal, gastos de limpieza, multas e indemnizaciones, y dañar la reputación de una organización. Otro motivo recurrente es la necesidad de cumplir con una serie de normativas gubernamentales y del sector.
Debido a que manejan tanta información confidencial, personal y financiera, así como el dinero de las personas, los servicios financieros son una industria altamente regulada. Según los servicios que presten, las empresas deben cumplir con una combinación de normas y requisitos.
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es conocido por sus normas sobre la protección de los datos de los titulares de tarjetas, por ejemplo. Los requisitos del Ley Sarbanes-Oxely rigen la gestión de los registros financieros. Las empresas que operan internacionalmente están familiarizadas con Ley de Resiliencia Operacional Digital (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para las transferencias de fondos establecidas por la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, conocido como Swift.
Y leyes como la Ley de privacidad del consumidor de California (CCPA) y de la UE Reglamento general de protección de datos (GDPR) establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otros, como los reglamentos establecidos por la Oficina del Contralor de la Moneda (OCC) de los Estados Unidos y el Banco Central Europeo (BCE).
Si eso no es suficiente, el Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la ineficacia de la seguridad del software. Además, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado directrices sobre Diseño seguro principios para el desarrollo de software.
Un denominador común para las empresas de servicios financieros es que el código seguro es un elemento fundamental para ayudar a cumplir los objetivos de esas normativas y facilitar la demostración del cumplimiento de las mismas. Además, subraya por qué los desarrolladores necesitan formación y perfeccionamiento para garantizar que se aplique la seguridad al código desde el inicio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de desarrolladores) son la base de PCI DSS 4.0
PCI DSS 4.0, que pasó a ser obligatoria el 1 de abril de 2024, incluye varias actualizaciones importantes de PCI DSS 3.2.1, entre las que destaca el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
PCI ha reconocido durante mucho tiempo la importancia del software seguro en el pasado. La versión 2.0, que se lanzó en 2017, incluía orientación para desarrolladores sobre cómo garantizar la seguridad de las transacciones en dispositivos móviles. Las directrices de la versión 4.0 ahora hacen hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas directrices específicas sobre la formación de los desarrolladores.
Los requisitos suelen estar establecidos de forma amplia, aunque es posible que las empresas deseen implementar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 establece que «los procesos y mecanismos para desarrollar y mantener sistemas y software seguros están definidos y comprendidos». Una buena forma de garantizar que esto sea cierto es que los desarrolladores reciban una formación precisa en los lenguajes y marcos de programación que utilizan para cubrir cualquier vacío de conocimiento.
Otro requisito establece que los desarrolladores que trabajan en software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que abarque:
- Seguridad del software relevante para su función laboral y lenguajes de desarrollo.
- Técnicas seguras de diseño y codificación de software.
- Cómo usar las herramientas de prueba de seguridad (si se están utilizando) para detectar vulnerabilidades en el software.
Sin embargo, en realidad, una vez al año no es lo suficientemente frecuente como para abordar los principales problemas de seguridad y acabar con los malos hábitos de programación. La capacitación debe ser continua y mesurada, con un proceso de verificación de habilidades para garantizar que se está haciendo un buen uso.
La PCI DSS 4.0 incluye más de media docena de requisitos adicionales que abordan áreas como la prevención y mitigación de varios tipos de ataques, la documentación de los componentes de software de terceros, la identificación y administración de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar esas medidas a fondo. La capacitación sobre los vectores de ataque debe ser frecuente, en lugar de anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Además, las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también brinda a las organizaciones cierta flexibilidad para cumplir con sus requisitos, centrándose en los resultados en lugar de marcar casillas, al tiempo que agrega nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
El cumplimiento comienza al principio del SDLC
Lo que estas regulaciones tienen en común es que intentan establecer estándares altos para proteger los datos y las transacciones en la industria de servicios financieros. Y, al igual que en el caso de la última versión del PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida del desarrollo del software (SDLC). La estrategia nacional de ciberseguridad y los principios de seguridad desde el diseño de la CISA también asignan la responsabilidad de la seguridad a los fabricantes del software (antes de su envío), de modo que incluso las empresas que no se rigen directamente por las regulaciones de los servicios financieros deben cumplirla.
Las organizaciones deben cerrar la brecha que existe entre los equipos de DevOps (que se centran en la velocidad del desarrollo) y los equipos de AppSec (que se apresuran a incorporar la seguridad al proceso) capacitando a los desarrolladores para que hagan de la seguridad algo inherente a su enfoque. Sin embargo, esto requiere un conjunto complejo de habilidades, que implica más de lo que pueden ofrecer las sesiones de capacitación anuales o los programas educativos estándar y estancados. La capacitación debe ser continua y ágil, estar diseñada para que los alumnos se involucren en situaciones activas del mundo real, y debe impartirse en pequeñas ráfagas que se ajusten a sus horarios de trabajo.
Las empresas de servicios financieros deben garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir con las normativas cada vez más estrictas. Los costes del incumplimiento pueden ser tan perjudiciales como los de una infracción en términos del impacto en la reputación de una empresa y de los costes monetarios. De IBM Informe sobre el costo de una violación de datos de 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, en promedio, a multas y otros costos por un total de 5,05 millones de dólares, es decir, medio millón de dólares más más que el costo promedio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en la industria de los servicios financieros sea de suma importancia, algo que reconocen reglamentos como el PCI DSS. La mejor manera de garantizar la seguridad del software es mediante una codificación segura al principio del SDLC. Y la manera de lograrlo es capacitando eficazmente a los desarrolladores en prácticas de codificación seguras.
Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico Secure Code Warrior, publicado recientemente: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.
Los reglamentos que rigen el sector de los servicios financieros, como el PCI DSS, enfatizan la importancia del código seguro y la necesidad de capacitar a los desarrolladores en las mejores prácticas de seguridad.
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
Las instituciones de servicios financieros tienen motivos de peso para garantizar que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos contra una violación, lo que puede resultar costoso en términos de filtración de información de identificación personal, gastos de limpieza, multas e indemnizaciones, y dañar la reputación de una organización. Otro motivo recurrente es la necesidad de cumplir con una serie de normativas gubernamentales y del sector.
Debido a que manejan tanta información confidencial, personal y financiera, así como el dinero de las personas, los servicios financieros son una industria altamente regulada. Según los servicios que presten, las empresas deben cumplir con una combinación de normas y requisitos.
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es conocido por sus normas sobre la protección de los datos de los titulares de tarjetas, por ejemplo. Los requisitos del Ley Sarbanes-Oxely rigen la gestión de los registros financieros. Las empresas que operan internacionalmente están familiarizadas con Ley de Resiliencia Operacional Digital (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para las transferencias de fondos establecidas por la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, conocido como Swift.
Y leyes como la Ley de privacidad del consumidor de California (CCPA) y de la UE Reglamento general de protección de datos (GDPR) establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otros, como los reglamentos establecidos por la Oficina del Contralor de la Moneda (OCC) de los Estados Unidos y el Banco Central Europeo (BCE).
Si eso no es suficiente, el Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la ineficacia de la seguridad del software. Además, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado directrices sobre Diseño seguro principios para el desarrollo de software.
Un denominador común para las empresas de servicios financieros es que el código seguro es un elemento fundamental para ayudar a cumplir los objetivos de esas normativas y facilitar la demostración del cumplimiento de las mismas. Además, subraya por qué los desarrolladores necesitan formación y perfeccionamiento para garantizar que se aplique la seguridad al código desde el inicio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de desarrolladores) son la base de PCI DSS 4.0
PCI DSS 4.0, que pasó a ser obligatoria el 1 de abril de 2024, incluye varias actualizaciones importantes de PCI DSS 3.2.1, entre las que destaca el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
PCI ha reconocido durante mucho tiempo la importancia del software seguro en el pasado. La versión 2.0, que se lanzó en 2017, incluía orientación para desarrolladores sobre cómo garantizar la seguridad de las transacciones en dispositivos móviles. Las directrices de la versión 4.0 ahora hacen hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas directrices específicas sobre la formación de los desarrolladores.
Los requisitos suelen estar establecidos de forma amplia, aunque es posible que las empresas deseen implementar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 establece que «los procesos y mecanismos para desarrollar y mantener sistemas y software seguros están definidos y comprendidos». Una buena forma de garantizar que esto sea cierto es que los desarrolladores reciban una formación precisa en los lenguajes y marcos de programación que utilizan para cubrir cualquier vacío de conocimiento.
Otro requisito establece que los desarrolladores que trabajan en software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que abarque:
- Seguridad del software relevante para su función laboral y lenguajes de desarrollo.
- Técnicas seguras de diseño y codificación de software.
- Cómo usar las herramientas de prueba de seguridad (si se están utilizando) para detectar vulnerabilidades en el software.
Sin embargo, en realidad, una vez al año no es lo suficientemente frecuente como para abordar los principales problemas de seguridad y acabar con los malos hábitos de programación. La capacitación debe ser continua y mesurada, con un proceso de verificación de habilidades para garantizar que se está haciendo un buen uso.
La PCI DSS 4.0 incluye más de media docena de requisitos adicionales que abordan áreas como la prevención y mitigación de varios tipos de ataques, la documentación de los componentes de software de terceros, la identificación y administración de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar esas medidas a fondo. La capacitación sobre los vectores de ataque debe ser frecuente, en lugar de anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Además, las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también brinda a las organizaciones cierta flexibilidad para cumplir con sus requisitos, centrándose en los resultados en lugar de marcar casillas, al tiempo que agrega nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
El cumplimiento comienza al principio del SDLC
Lo que estas regulaciones tienen en común es que intentan establecer estándares altos para proteger los datos y las transacciones en la industria de servicios financieros. Y, al igual que en el caso de la última versión del PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida del desarrollo del software (SDLC). La estrategia nacional de ciberseguridad y los principios de seguridad desde el diseño de la CISA también asignan la responsabilidad de la seguridad a los fabricantes del software (antes de su envío), de modo que incluso las empresas que no se rigen directamente por las regulaciones de los servicios financieros deben cumplirla.
Las organizaciones deben cerrar la brecha que existe entre los equipos de DevOps (que se centran en la velocidad del desarrollo) y los equipos de AppSec (que se apresuran a incorporar la seguridad al proceso) capacitando a los desarrolladores para que hagan de la seguridad algo inherente a su enfoque. Sin embargo, esto requiere un conjunto complejo de habilidades, que implica más de lo que pueden ofrecer las sesiones de capacitación anuales o los programas educativos estándar y estancados. La capacitación debe ser continua y ágil, estar diseñada para que los alumnos se involucren en situaciones activas del mundo real, y debe impartirse en pequeñas ráfagas que se ajusten a sus horarios de trabajo.
Las empresas de servicios financieros deben garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir con las normativas cada vez más estrictas. Los costes del incumplimiento pueden ser tan perjudiciales como los de una infracción en términos del impacto en la reputación de una empresa y de los costes monetarios. De IBM Informe sobre el costo de una violación de datos de 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, en promedio, a multas y otros costos por un total de 5,05 millones de dólares, es decir, medio millón de dólares más más que el costo promedio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en la industria de los servicios financieros sea de suma importancia, algo que reconocen reglamentos como el PCI DSS. La mejor manera de garantizar la seguridad del software es mediante una codificación segura al principio del SDLC. Y la manera de lograrlo es capacitando eficazmente a los desarrolladores en prácticas de codificación seguras.
Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico Secure Code Warrior, publicado recientemente: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.
Las instituciones de servicios financieros tienen motivos de peso para garantizar que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos contra una violación, lo que puede resultar costoso en términos de filtración de información de identificación personal, gastos de limpieza, multas e indemnizaciones, y dañar la reputación de una organización. Otro motivo recurrente es la necesidad de cumplir con una serie de normativas gubernamentales y del sector.
Debido a que manejan tanta información confidencial, personal y financiera, así como el dinero de las personas, los servicios financieros son una industria altamente regulada. Según los servicios que presten, las empresas deben cumplir con una combinación de normas y requisitos.
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es conocido por sus normas sobre la protección de los datos de los titulares de tarjetas, por ejemplo. Los requisitos del Ley Sarbanes-Oxely rigen la gestión de los registros financieros. Las empresas que operan internacionalmente están familiarizadas con Ley de Resiliencia Operacional Digital (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para las transferencias de fondos establecidas por la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, conocido como Swift.
Y leyes como la Ley de privacidad del consumidor de California (CCPA) y de la UE Reglamento general de protección de datos (GDPR) establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otros, como los reglamentos establecidos por la Oficina del Contralor de la Moneda (OCC) de los Estados Unidos y el Banco Central Europeo (BCE).
Si eso no es suficiente, el Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la ineficacia de la seguridad del software. Además, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado directrices sobre Diseño seguro principios para el desarrollo de software.
Un denominador común para las empresas de servicios financieros es que el código seguro es un elemento fundamental para ayudar a cumplir los objetivos de esas normativas y facilitar la demostración del cumplimiento de las mismas. Además, subraya por qué los desarrolladores necesitan formación y perfeccionamiento para garantizar que se aplique la seguridad al código desde el inicio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de desarrolladores) son la base de PCI DSS 4.0
PCI DSS 4.0, que pasó a ser obligatoria el 1 de abril de 2024, incluye varias actualizaciones importantes de PCI DSS 3.2.1, entre las que destaca el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
PCI ha reconocido durante mucho tiempo la importancia del software seguro en el pasado. La versión 2.0, que se lanzó en 2017, incluía orientación para desarrolladores sobre cómo garantizar la seguridad de las transacciones en dispositivos móviles. Las directrices de la versión 4.0 ahora hacen hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas directrices específicas sobre la formación de los desarrolladores.
Los requisitos suelen estar establecidos de forma amplia, aunque es posible que las empresas deseen implementar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 establece que «los procesos y mecanismos para desarrollar y mantener sistemas y software seguros están definidos y comprendidos». Una buena forma de garantizar que esto sea cierto es que los desarrolladores reciban una formación precisa en los lenguajes y marcos de programación que utilizan para cubrir cualquier vacío de conocimiento.
Otro requisito establece que los desarrolladores que trabajan en software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que abarque:
- Seguridad del software relevante para su función laboral y lenguajes de desarrollo.
- Técnicas seguras de diseño y codificación de software.
- Cómo usar las herramientas de prueba de seguridad (si se están utilizando) para detectar vulnerabilidades en el software.
Sin embargo, en realidad, una vez al año no es lo suficientemente frecuente como para abordar los principales problemas de seguridad y acabar con los malos hábitos de programación. La capacitación debe ser continua y mesurada, con un proceso de verificación de habilidades para garantizar que se está haciendo un buen uso.
La PCI DSS 4.0 incluye más de media docena de requisitos adicionales que abordan áreas como la prevención y mitigación de varios tipos de ataques, la documentación de los componentes de software de terceros, la identificación y administración de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar esas medidas a fondo. La capacitación sobre los vectores de ataque debe ser frecuente, en lugar de anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Además, las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también brinda a las organizaciones cierta flexibilidad para cumplir con sus requisitos, centrándose en los resultados en lugar de marcar casillas, al tiempo que agrega nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
El cumplimiento comienza al principio del SDLC
Lo que estas regulaciones tienen en común es que intentan establecer estándares altos para proteger los datos y las transacciones en la industria de servicios financieros. Y, al igual que en el caso de la última versión del PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida del desarrollo del software (SDLC). La estrategia nacional de ciberseguridad y los principios de seguridad desde el diseño de la CISA también asignan la responsabilidad de la seguridad a los fabricantes del software (antes de su envío), de modo que incluso las empresas que no se rigen directamente por las regulaciones de los servicios financieros deben cumplirla.
Las organizaciones deben cerrar la brecha que existe entre los equipos de DevOps (que se centran en la velocidad del desarrollo) y los equipos de AppSec (que se apresuran a incorporar la seguridad al proceso) capacitando a los desarrolladores para que hagan de la seguridad algo inherente a su enfoque. Sin embargo, esto requiere un conjunto complejo de habilidades, que implica más de lo que pueden ofrecer las sesiones de capacitación anuales o los programas educativos estándar y estancados. La capacitación debe ser continua y ágil, estar diseñada para que los alumnos se involucren en situaciones activas del mundo real, y debe impartirse en pequeñas ráfagas que se ajusten a sus horarios de trabajo.
Las empresas de servicios financieros deben garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir con las normativas cada vez más estrictas. Los costes del incumplimiento pueden ser tan perjudiciales como los de una infracción en términos del impacto en la reputación de una empresa y de los costes monetarios. De IBM Informe sobre el costo de una violación de datos de 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, en promedio, a multas y otros costos por un total de 5,05 millones de dólares, es decir, medio millón de dólares más más que el costo promedio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en la industria de los servicios financieros sea de suma importancia, algo que reconocen reglamentos como el PCI DSS. La mejor manera de garantizar la seguridad del software es mediante una codificación segura al principio del SDLC. Y la manera de lograrlo es capacitando eficazmente a los desarrolladores en prácticas de codificación seguras.
Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico Secure Code Warrior, publicado recientemente: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
이 기사는 다음에 의해 작성되었습니다. Secure Code Warrior 업계 전문가로 구성된 팀은 개발자에게 처음부터 안전한 소프트웨어를 구축할 수 있는 지식과 기술을 제공하기 위해 최선을 다하고 있습니다. 안전한 코딩 관행, 업계 동향 및 실제 통찰력에 대한 심층적인 전문 지식을 활용합니다.
Las instituciones de servicios financieros tienen motivos de peso para garantizar que el código de software que utilizan es seguro. Una motivación obvia, por supuesto, es la necesidad de proteger sus datos contra una violación, lo que puede resultar costoso en términos de filtración de información de identificación personal, gastos de limpieza, multas e indemnizaciones, y dañar la reputación de una organización. Otro motivo recurrente es la necesidad de cumplir con una serie de normativas gubernamentales y del sector.
Debido a que manejan tanta información confidencial, personal y financiera, así como el dinero de las personas, los servicios financieros son una industria altamente regulada. Según los servicios que presten, las empresas deben cumplir con una combinación de normas y requisitos.
El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es conocido por sus normas sobre la protección de los datos de los titulares de tarjetas, por ejemplo. Los requisitos del Ley Sarbanes-Oxely rigen la gestión de los registros financieros. Las empresas que operan internacionalmente están familiarizadas con Ley de Resiliencia Operacional Digital (DORA), que es un marco vinculante de gestión de riesgos, y las normas mundiales para las transferencias de fondos establecidas por la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, conocido como Swift.
Y leyes como la Ley de privacidad del consumidor de California (CCPA) y de la UE Reglamento general de protección de datos (GDPR) establecen requisitos para proteger la privacidad y la información personal de los clientes. Hay otros, como los reglamentos establecidos por la Oficina del Contralor de la Moneda (OCC) de los Estados Unidos y el Banco Central Europeo (BCE).
Si eso no es suficiente, el Estrategia Nacional de Ciberseguridad establece, entre otras cosas, que los fabricantes de software deben ser considerados responsables de la ineficacia de la seguridad del software. Además, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), junto con 17 socios estadounidenses e internacionales, ha publicado directrices sobre Diseño seguro principios para el desarrollo de software.
Un denominador común para las empresas de servicios financieros es que el código seguro es un elemento fundamental para ayudar a cumplir los objetivos de esas normativas y facilitar la demostración del cumplimiento de las mismas. Además, subraya por qué los desarrolladores necesitan formación y perfeccionamiento para garantizar que se aplique la seguridad al código desde el inicio del proceso de desarrollo.
Como ejemplo de cómo funciona, veamos la versión más reciente de PCI DSS.
La codificación segura (y la formación de desarrolladores) son la base de PCI DSS 4.0
PCI DSS 4.0, que pasó a ser obligatoria el 1 de abril de 2024, incluye varias actualizaciones importantes de PCI DSS 3.2.1, entre las que destaca el papel que desempeñan los desarrolladores a la hora de garantizar la seguridad del código de software.
PCI ha reconocido durante mucho tiempo la importancia del software seguro en el pasado. La versión 2.0, que se lanzó en 2017, incluía orientación para desarrolladores sobre cómo garantizar la seguridad de las transacciones en dispositivos móviles. Las directrices de la versión 4.0 ahora hacen hincapié en la aplicación de las mejores prácticas de seguridad al desarrollo de software e incluyen algunas directrices específicas sobre la formación de los desarrolladores.
Los requisitos suelen estar establecidos de forma amplia, aunque es posible que las empresas deseen implementar un enfoque más exhaustivo.
Por ejemplo, un requisito de la versión 4.0 establece que «los procesos y mecanismos para desarrollar y mantener sistemas y software seguros están definidos y comprendidos». Una buena forma de garantizar que esto sea cierto es que los desarrolladores reciban una formación precisa en los lenguajes y marcos de programación que utilizan para cubrir cualquier vacío de conocimiento.
Otro requisito establece que los desarrolladores que trabajan en software a medida y personalizado deben recibir formación al menos una vez cada 12 meses, que abarque:
- Seguridad del software relevante para su función laboral y lenguajes de desarrollo.
- Técnicas seguras de diseño y codificación de software.
- Cómo usar las herramientas de prueba de seguridad (si se están utilizando) para detectar vulnerabilidades en el software.
Sin embargo, en realidad, una vez al año no es lo suficientemente frecuente como para abordar los principales problemas de seguridad y acabar con los malos hábitos de programación. La capacitación debe ser continua y mesurada, con un proceso de verificación de habilidades para garantizar que se está haciendo un buen uso.
La PCI DSS 4.0 incluye más de media docena de requisitos adicionales que abordan áreas como la prevención y mitigación de varios tipos de ataques, la documentación de los componentes de software de terceros, la identificación y administración de vulnerabilidades y otras medidas de seguridad. En todos los casos, las organizaciones harían bien en aplicar esas medidas a fondo. La capacitación sobre los vectores de ataque debe ser frecuente, en lugar de anual. Los componentes de terceros, que suelen ser una fuente de vulnerabilidades, deben inventariarse cuidadosamente mediante un programa de lista de materiales de software (SBOM). Además, las organizaciones deben asegurarse de tener funciones claramente definidas para gestionar las vulnerabilidades.
La nueva versión también brinda a las organizaciones cierta flexibilidad para cumplir con sus requisitos, centrándose en los resultados en lugar de marcar casillas, al tiempo que agrega nuevos requisitos para los controles de autenticación, la longitud de las contraseñas, las cuentas compartidas y otros factores.
El cumplimiento comienza al principio del SDLC
Lo que estas regulaciones tienen en común es que intentan establecer estándares altos para proteger los datos y las transacciones en la industria de servicios financieros. Y, al igual que en el caso de la última versión del PCI DSS, hacen cada vez más hincapié en la importancia de un código seguro al principio del ciclo de vida del desarrollo del software (SDLC). La estrategia nacional de ciberseguridad y los principios de seguridad desde el diseño de la CISA también asignan la responsabilidad de la seguridad a los fabricantes del software (antes de su envío), de modo que incluso las empresas que no se rigen directamente por las regulaciones de los servicios financieros deben cumplirla.
Las organizaciones deben cerrar la brecha que existe entre los equipos de DevOps (que se centran en la velocidad del desarrollo) y los equipos de AppSec (que se apresuran a incorporar la seguridad al proceso) capacitando a los desarrolladores para que hagan de la seguridad algo inherente a su enfoque. Sin embargo, esto requiere un conjunto complejo de habilidades, que implica más de lo que pueden ofrecer las sesiones de capacitación anuales o los programas educativos estándar y estancados. La capacitación debe ser continua y ágil, estar diseñada para que los alumnos se involucren en situaciones activas del mundo real, y debe impartirse en pequeñas ráfagas que se ajusten a sus horarios de trabajo.
Las empresas de servicios financieros deben garantizar la seguridad tanto para protegerse contra las infracciones como para cumplir con las normativas cada vez más estrictas. Los costes del incumplimiento pueden ser tan perjudiciales como los de una infracción en términos del impacto en la reputación de una empresa y de los costes monetarios. De IBM Informe sobre el costo de una violación de datos de 2023, por ejemplo, descubrió que las organizaciones con un alto nivel de incumplimiento se enfrentaban, en promedio, a multas y otros costos por un total de 5,05 millones de dólares, es decir, medio millón de dólares más más que el costo promedio de una violación de datos real.
El continuo crecimiento de los entornos basados en la nube y las transacciones digitales ha hecho que la seguridad del software en la industria de los servicios financieros sea de suma importancia, algo que reconocen reglamentos como el PCI DSS. La mejor manera de garantizar la seguridad del software es mediante una codificación segura al principio del SDLC. Y la manera de lograrlo es capacitando eficazmente a los desarrolladores en prácticas de codificación seguras.
Para obtener una descripción general completa de cómo la codificación segura puede ayudar a garantizar el éxito, la seguridad y los beneficios de las empresas de servicios financieros, puede leer el libro electrónico Secure Code Warrior, publicado recientemente: La guía definitiva sobre las tendencias de seguridad en los servicios financieros.
Eche un vistazo a la Secure Code Warrior páginas de blog para obtener más información sobre la ciberseguridad y el panorama de amenazas cada vez más peligroso, y para obtener información sobre cómo puede emplear tecnología y formación innovadoras para proteger mejor a su organización y a sus clientes.
목차
Secure Code Warrior 개발자가 기술을 향상함에 따라 안전한 코딩을 긍정적으로 만들고 매력적인 경험을 제공합니다. 우리는 보안 숙련 된 개발자가 우리의 연결된 세계의 일상적인 슈퍼 히어로가 될 수 있도록, 자신의 선호하는 학습 경로를 따라 각 코더를 안내합니다.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 조성하도록 Secure Code Warrior . AppSec 관리자, 개발자, CISO 또는 보안 관련 담당자라면 누구든, 저희는 귀사의 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
