3 minute read
INTERESANTE
tráfico contiene información sensible, por lo que es esencial que tanto los bancos como las empresas de tecnología financiera lo controlen. De hecho, dada la importancia de las API para prácticamente todos los aspectos de la transformación digital, permitir que queden sin supervisión es el equivalente en ciberseguridad a ignorar una bomba de tiempo.
Proteger el activo más importante
Advertisement
Las API son tan importantes para los servicios digitales porque permiten que distintas aplicaciones compartan datos y “hablen” entre sí. Y lo que es más importante, los datos que intercambian suelen proceder de bases de datos backend, lo que significa que las API funcionan como una vía de acceso al activo más valioso de las empresas: sus datos.
El peligro para las instituciones financieras es que casi un tercio (30%) de este tráfico se realiza a través de “API en la sombra”. Según Imperva Threat Research, las APIs en la sombra son de terceros que una empresa utiliza pero no rastrea, o bien APIsI internas no supervisadas, olvidadas o que quedan fuera de la visibilidad de los equipos de seguridad.
Dado que las API pueden conectarse a bases de datos, son una vía ideal para que los hackers filtren información confidencial o pongan en peligro las aplicaciones empresariales. Ya se estima que uno de cada 13 incidentes cibernéticos está relacionado con la inseguridad de las API, por lo que representa un importante fallo de seguridad que todas las empresas financieras deberían de solucionar de inmediato.
Tres pasos para garantizar la seguridad Para eliminar las “API en la sombra” y evitar el uso indebido se necesitan tres capacidades básicas:
1. Visibilidad total de todas las API de la organización: Dada la velocidad a la que se producen y modifican las API, el descubrimiento y la clasificación manual es prácticamente imposible. En su lugar, mediante la automatización del proceso, las instituciones financieras pueden desarrollar un inventario completo de APIs que se actualiza continuamente cada vez que se realiza un cambio en la producción, proporcionando visibilidad a los equipos de seguridad sin ralentizar a los desarrolladores.
2. Establecer una buena gestión: Por ejemplo, la aplicación de normas y políticas de seguridad comunes sobre cómo deben utilizarse las API. Esto no sólo ahorra tiempo y dinero gracias a una mayor coherencia, sino que también permite una mejor toma de decisiones en relación con los procesos de creación, despliegue y consumo de API. Esto es aún más importante en sectores muy regulados, como el financiero, para garantizar el cumplimiento de normativas.
3. Visibilidad sobre el esquema completo de cada API: Esto también debe incluir todos los datos que fluyen a través de ellas. Gracias a la visibilidad de los esquemas, las empresas pueden definir el uso previsto de los puntos finales de las API y compararlo con una línea de base de comportamiento normal, lo que facilita la identificación e investigación de anomalías. Esto está estrechamente relacionado con la buena administración de las API, ya que implica comprender la carga útil subyacente y asegurarse de que también está protegida.
Para que estas capacidades de seguridad sean eficaces, las empresas necesitan también evaluar entornos heredados, híbridos y nativos de la nube. De lo contrario, la protección de las API seguirá estando fragmentada. Como consecuencia, quedarán desprotegidas y el tráfico potencialmente sensible no se supervisará.
Tomar la iniciativa
Debido a la estricta normativa que impacta a las instituciones financieras, como es la “ley fintech” en México y Brasil, el sector ha sido durante mucho tiempo líder en ciberseguridad y muchas empresas han adoptado nuevas tecnologías para mejorar la protección de datos o la seguridad de las aplicaciones. Ahora, debido al crecimiento del Open Banking y otras iniciativas de transformación digital, las “API en la sombra” se han convertido en otro reto con el que tienen que lidiar.
La protección sólida es una cuestión holística. Sin embargo, si se centran en garantizar la plena visibilidad de las API en todos los entornos, trazar la estrategia y el flujo de trabajo útil subyacente de cada una, así como aplicar buenas prácticas de gestión, las organizaciones pueden aprovechar al máximo las ventajas del open banking, al tiempo que se protegen a sí mismas y a sus clientes de las graves repercusiones tanto monetarias como de reputación en el caso de que un ataque sea exitoso.
Para más información: https:// impervaopenfinance.com/
