El desarrollo ágil con ciclos cortos de lanzamiento de software es una buena forma de diferenciarse de los competidores más lentos. Los procesos de desarrollo modernos, como el desarrollo ágil y DevOps, se basan en equipos estrechamente integrados en los que los arquitectos de software, los desarrolladores y los probadores de seguridad y funcionales trabajan juntos para desarrollar e implementar software financiero con mayor rapidez. Los enfoques actuales de DevOps, como la integración continua y la entrega continua, vinculan a la perfección el desarrollo de software con la operación del software para brindar a los usuarios acceso a mejoras incrementales en tiempo real.
Por: Lenildo Morais, Maestro en la Ciencias de la Computación. Gerente de Proyectos en Ustore / Claro. Profesor del Centro Universitario Maurício de Nassau e Investigador de Assert – Tecnologías Avanzadas de Investigación en Ingeniería de Sistemas y Software.
Protección de Sistemas
Los nuevos paradigmas en el desarrollo de software también están obligando a los equipos de seguridad a repensar sus enfoques anteriores. Los desarrolladores de FinTech pueden seguir los siguientes pasos para optimizar de manera sostenible la seguridad de sus sistemas:
1) Clasificación de riesgo
En los departamentos de desarrollo de muchos bancos, decenas de miles de desarrolladores de software son responsables de programar y mantener miles de aplicaciones individuales. Por lo tanto, el primer paso para minimizar el riesgo es comprender qué peligros están asociados con qué aplicación y primero determinar el potencial de daño de cada solución de software. La seguridad de una aplicación de banca en línea que los clientes pueden usar para realizar transferencias, iniciar transacciones más grandes y administrar sus cuentas es muy crítica para el negocio. Un ataque exitoso a esta aplicación incurriría en enormes costos, violaría los requisitos legales y dañaría la reputación a largo plazo de la institución financiera. Todas las aplicaciones en las que se procesan datos regulados deben clasificarse como igualmente críticas.
Por otro lado, también existen aplicaciones internas que no tienen acceso a información sensible y solo tienen una pequeña área de ataque. El potencial de daño a estas aplicaciones es mucho menor y protegerlas no es una prioridad tan alta. Una calificación de riesgo de aplicación permite a los expertos en seguridad de las instituciones financieras centrar su atención y recursos en los servicios verdaderamente críticos.
2) Requisitos de seguridad
Los desarrolladores, los equipos de seguridad y los equipos de operaciones deben definir el camino hacia las aplicaciones seguras. Su apariencia en cada caso individual depende completamente de cuán críticas sean las aplicaciones respectivas para la empresa y qué riesgos está dispuesta a aceptar.
Algunas instituciones crediticias interpretarán esta brecha como una oportunidad para detener el desarrollo por el momento e investigar exhaustivamente las causas. Otros seguirán trabajando en las versiones, incluso si tienen varias brechas críticas, siempre y cuando no salgan a la luz en un futuro próximo.
3) Pruebas de seguridad en todo
Para mantenerse al día con la velocidad y la agilidad del entorno DevOps, la seguridad debe integrarse a la perfección en todas las fases del ciclo de vida del desarrollo de software. De esta manera, los proveedores de servicios financieros pueden acortar de manera sostenible su personal y reducir los costos de desarrollo de software. Porque cuanto antes se identifica una vulnerabilidad, más fácil y menos costoso es solucionarlo. Las soluciones de prueba de seguridad de aplicaciones estáticas comienzan temprano en el proceso de desarrollo y utilizan un modelo de construcción consistente para verificar la calidad del código.
La analítica de código abierto se puede utilizar desde las primeras versiones hasta la fase de prueba y evaluación de la calidad para evaluar los componentes de código abierto integrados e identificar las vulnerabilidades que se conocen para investigar. Para evaluar la calidad del código compilado, las soluciones de pruebas de seguridad de aplicaciones interactivas dedicadas también deben incluirse en la fase de prueba y control de calidad.
Validación del código fuente después de la finalización del desarrollo
Trabajar con marcos y componentes sin licencia tiene muchas ventajas, especialmente con el objetivo de reducir los costos de desarrollo y reducir el tiempo de comercialización. Sin embargo, el requisito previo para una integración de código abierto exitosa es que los componentes de código abierto utilizados se analicen continuamente en busca de posibles agujeros de seguridad, incluso después de que se haya completado el desarrollo real. Algunas de las vulnerabilidades de código abierto más peligrosas, como ShellShock, no se identificaron hasta décadas después de la publicación del código.
Integración de Servicios de Seguridad Gestionados
En tiempos de escasez de trabajadores calificados, muchas pequeñas y medianas empresas fintech carecen de recursos de TI. En la mayoría de los equipos de DevSecOps también hay un desequilibrio en la distribución: por cada 100 desarrolladores hay un promedio de 10 empleados en operaciones y solo un especialista en seguridad. Dado este alarmante desequilibrio, los gerentes de tecnología de la información deben preguntarse si su equipo puede brindar la protección necesaria para el desarrollo de software o si tiene sentido utilizar un proveedor de servicios de seguridad administrada. Los expertos en seguridad externos presentan software de seguridad a los empleados y les muestran cómo minimizar el número de falsos positivos desde el primer día. Alternativamente, también puede realizar análisis de seguridad, así como priorizar y evaluar los hallazgos cuando se le solicite. De esta manera, el equipo puede concentrarse completamente en sus competencias básicas.
El desarrollo de software ha cambiado radicalmente en los últimos años. Los nuevos enfoques de desarrollo permiten a las empresas entregar software personalizado mucho más rápido y, por lo tanto, diferenciarse exitosamente de sus competidores. Sin embargo, especialmente en mercados estrictamente regulados como el sector financiero, esto requiere que el software sea analizado cuidadosamente para detectar posibles brechas de seguridad a lo largo del ciclo de desarrollo. Porque todos los días, miles de atacantes atacan el software bancario para robar identidades y datos personales valiosos. Si tienen éxito, no solo estará en riesgo la reputación de la empresa. También existe la amenaza de enormes pérdidas financieras y multas elevadas por infracciones de cumplimiento.
Las plataformas de seguridad de software automatizadas e integrales brindan protección confiable de manera única que combinan pruebas estáticas e interactivas, análisis de código fuente y capacitación para desarrolladores en una sola solución y cubren todo el ciclo de vida del desarrollo de software.