Cinco áreas donde la mejora de la protección de las API refuerza la seguridad en los servicios financieros

La seguridad de las API es un tema candente hoy en día y con buena razón. Si lo pensamos bien, la mayoría de las organizaciones de servicios financieros se han vuelto más parecidas a empresas de tecnología. Están constantemente presionados para innovar, para seguir el ritmo de las FinTechs que están superando los estándares para abordar las demandas de los clientes digitales, o incluso asociándose con ellas. El ecosistema de servicios financieros evolucionado resultante, que incorpora FinTechs a través de API, ha generado un crecimiento significativo en el movimiento de finanzas abiertas. Esto hace que las instituciones de servicios financieros dependan más que nunca de las API para que sus negocios funcionen.

No es sorprendente que, a medida que los bancos se han dado cuenta de la importancia de las API, también lo hayan hecho los atacantes. Las API críticas para el negocio son blanco constante de atacantes que se dan cuenta de que pueden obtener ganancias o beneficios al explotar, abusar o comprometer las API. Al mismo tiempo, la superficie de ataque se ha ampliado significativamente en los últimos años. Esto se debe en gran medida a la mayor complejidad y dificultad en la gestión de entornos híbridos y multicloud que se han apoderado de la industria. Todo esto genera importantes impactos comerciales en forma de violaciones de datos a gran escala, problemas de cumplimiento y multas regulatorias.

Las noticias no son todas malas, por supuesto. Cuando las organizaciones de servicios financieros trabajan con un socio confiable, pueden protegerse mejor contra las amenazas a sus API. Echemos un vistazo a cinco áreas en las que el socio de confianza adecuado puede ayudar a mejorar la seguridad de la API.

1. Desarrollo: Los equipos de desarrollo se enfrentan a un difícil desafío. Por un lado, se enfrentan a plazos estrictos para desarrollar la funcionalidad requerida y hacerla funcionar. Por otro lado, desarrollan APIs según requisitos definidos por el equipo de seguridad. Sin embargo, no existe una forma real de hacer cumplir esos requisitos ni de verificarlos de alguna manera. Claro, el código puede ser auditado y revisado, pero es un proceso tedioso y que consume mucho tiempo, y es propenso a errores humanos y descuidos. También es un proceso que a menudo queda en segundo plano frente a otras prioridades candentes. En la mayoría de las empresas, los desarrolladores suelen superar en número significativamente a los profesionales de seguridad, lo que crea un problema de escala. Como resultado, los errores, los descuidos y las vulnerabilidades atraviesan el proceso de desarrollo y llegan a las API de producción. Solo la automatización puede ayudar a escalar los controles de seguridad, evitando que el equipo de seguridad obstaculice el ritmo requerido por el negocio. Trabajar con un socio confiable para aplicar automáticamente esquemas, estándares y políticas es una mejor manera.
2. Control de acceso: Lo crea o no, controlar quién tiene qué acceso a las API sigue siendo un desafío. Si consideramos la complejidad de los negocios modernos, esto quizá no sea tan difícil de creer. La mayoría de las empresas tienen dos o más proveedores de nube, además de entornos locales y/o de centros de datos. Por lo general, se requieren varios equipos para administrar las pilas de redes, tecnología, desarrollo y seguridad en cada una de estas ubicaciones dispares. Por lo tanto, no es sorprendente que controlar (y monitorear) el acceso a las API se haya convertido en un desafío serio. De hecho, cuatro de las 10 principales API de seguridad de OWASP de 2023 están relacionadas con la autenticación/autorización. El proveedor confiable y adecuado puede ayudar a aportar simplicidad a la complejidad y calma a los abrumados. Esto permite que la empresa se concentre completamente en la operación, el mantenimiento y la protección de esos entornos, incluido el control de acceso adecuado.
3. API no autorizadas: A veces, los procesos formales toman su tiempo debido y los desarrolladores crean nueva infraestructura y puntos finales para cumplir con un plazo de desarrollo. O tal vez la infraestructura y los puntos finales quedaron olvidados y nunca fueron inventariados, administrados, monitoreados y protegidos adecuadamente. Cualquiera sea el motivo, existen API fraudulentas. Cuando una API no se conoce, no se puede inventariar, administrar, monitorear ni proteger. Un socio bueno y confiable ayudará a la empresa no solo a detectar API desconocidas, sino también a protegerlas.
4. WAF no es suficiente: No hay duda de que los firewalls de aplicação web (WAF) son un elemento esencial en una pila de seguridad. Los WAF brindan protección importante contra una amplia variedad de amenazas. Pero nunca tuvieron la intención de ser una solución universal para cada variedad de ataques que se lanzan a las API diariamente. Además, las API están evolucionando rápidamente, lo que significa que abordan clases de vulnerabilidades completamente nuevas que los controles de seguridad pueden pasar por alto. La oferta de ningún socio confiable está completa a menos que ofrezca, además de WAF e integrado con él , capacidades sofisticadas para identificar y mitigar las vulnerabilidades de la API.
5. Ataques sofisticados: Atrás quedaron los días en que las aplicações eran blanco de ataques conocidos y comunes. Los atacantes sofisticados lanzan ataques sofisticados, es decir, aquellos que pasan desapercibidos para exponer flujos comerciales sensibles, extraer datos, provocar fraudes, inutilizar aplicações y arruinar reputaciones. Esto incluye tanto ataques manuales como ataques automatizados (bots). Identificar, detectar y mitigar estos sofisticados tipos de ataques requieren conocimientos especializados. La defensa contra los ataques más sofisticados debe ser parte de la oferta de seguridad API de cualquier socio de confianza.

Ésta no es una lista exhaustiva, por supuesto. Cada organización de servicios financieros debe revisar su registro de riesgos para comprender qué riesgos y amenazas es probable que tengan el mayor impacto en el negocio. A aquellos que probablemente tengan un impacto más severo se les puede dar mayor prioridad. Es importante señalar, sin embargo, que muchos líderes pueden no saber cómo evaluar de manera más efectiva el verdadero alcance del riesgo de seguridad de la API. Por eso es aún más importante trabajar con el socio adecuado. Los riesgos relacionados con la seguridad de las API deberían, idealmente, ocupar un lugar bastante alto en la lista, lo que los convierte en un tema prioritario que merece la inversión. Esto incluye trabajar con el socio adecuado que comprenda la importancia de la seguridad de la API y traiga consigo las soluciones adecuadas.

Para obtener más información, visite Ciberseguridad para banca y servicios financieros .