Veracode, líder mundial en gestión de riesgos de aplicaciones, publicó hoy un nuevo estudio que pone de relieve el estado de la deuda de seguridad del software en el sector de los servicios financieros. La deuda de seguridad, definida para este informe como los fallos que permanecen sin corregir durante más de un año, existe en el 76 % de las organizaciones del sector de servicios financieros, y el 50 % de ellas tiene una deuda de seguridad crítica.
Este comunicado de prensa trata sobre multimedia. Ver la noticia completa aquí: https://www.businesswire.com/news/home/20241029161092/es/
Figure 1: Prevalence of security debt in the financial sector (Graphic: Business Wire)
Dado que el costo promedio de una violación de datos en el sector financiero se estima en $6,08 millones1, la investigación llega en un momento crítico para uno de los sectores más atacados por agentes de amenazas sofisticados. Según un informe del Departamento del Tesoro de EE. UU. de marzo de 2024, las amenazas utilizan herramientas basadas en IA para encontrar y explotar vulnerabilidades de software a un ritmo sin precedentes. Al mismo tiempo, la creciente competencia del sector y las expectativas de comodidad de los clientes exigen que las organizaciones aceleren la innovación.
"La alta tasa de deuda de seguridad en el sector financiero plantea riesgos significativos para las organizaciones y sus clientes si no se aborda rápidamente. A medida que los ciberataques impulsados por IA continúan creciendo en fuerza y número, y las organizaciones luchan por mantenerse al día con las regulaciones en evolución debido a la deuda de seguridad existente, el panorama actual permite a los actores de amenazas explotar vulnerabilidades a un ritmo alarmante y sin precedentes", dijo Chris Wysopal, evangelista jefe de seguridad de Veracode. "Nuestro último estudio sobre el estado del software pone de relieve la necesidad crítica de que las instituciones financieras aborden ya las vulnerabilidades del código de origen y de terceros. Las organizaciones que dejan fallos sin remediar durante más de un año están expuestas a amenazas prolongadas y peligrosas".
El retraso en la corrección de fallos amenaza la seguridad del sector financiero
Los investigadores de Veracode descubrieron que el 40 por ciento de todas las aplicaciones del sector financiero tienen deudas de seguridad, lo que es ligeramente mejor que la media intersectorial del 42 por ciento. Además, solo el 5,5 % de las aplicaciones del sector financiero están libres de fallos, en comparación con el 5,9 % de otras industrias. Aunque el número de aplicaciones del sector financiero con deuda de seguridad es ligeramente inferior, acumulan más deuda de seguridad.
El informe también destaca la necesidad de que las organizaciones de servicios financieros aborden la deuda de seguridad tanto en el código de origen como en el de terceros. El 84 % de todos los problemas de seguridad afectan al código de origen, pero la mayoría (78,6 %) de los problemas de seguridad críticos proceden de las dependencias de terceros. Esto refuerza la importancia de los esfuerzos de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras para ayudar a proteger el ecosistema de código abierto con su Hoja de ruta para la seguridad del software de código abierto y su Compromiso de seguridad mediante el diseño.
El análisis explora además los plazos de reparación en el sector de los servicios financieros. Los investigadores descubrieron que las organizaciones financieras solucionan la mitad de los fallos de origen en los primeros nueve meses, frente a los 13 meses que tardan los fallos de terceros. De ellos, el 52 % de los fallos de terceros se convierten en deuda de seguridad, mientras que el 44 % de los fallos de origen se convierten en deuda de seguridad.
La importancia de establecer prioridades en la corrección de riesgos
La proliferación de ataques a la cadena de suministro dirigidos al sector de los servicios financieros ha dado lugar a un número creciente de normativas de ciberseguridad que se centran más en la seguridad del software. Por ejemplo, marcos normativos como la ISO 20022, la Payment Card Industry Data Security Standard (PCI DSS), la NIS2, y la Digital Operational Resilience Act (DORA) exigen a las organizaciones que eviten que se desplieguen vulnerabilidades en las aplicaciones.
Esto pone a las organizaciones en riesgo de incumplimiento debido a la deuda de seguridad existente y a estrategias de corrección obsoletas. La investigación de Veracode revela que las organizaciones pueden hacer frente a este riesgo dando prioridad al 3,3 % de los fallos que constituyen una deuda de seguridad crítica. Remediar primero los fallos más peligrosos significa que las entidades financieras pueden pasar a abordar otros fallos críticos o deudas no críticas en función de su tolerancia al riesgo y sus capacidades.
El papel de la gestión de la seguridad de las aplicaciones
La creciente necesidad de priorizar los riesgos crea una demanda significativa de gestión de la postura de seguridad de las aplicaciones (ASPM) para realizar un seguimiento continuo de los riesgos mediante la recopilación, la visibilidad y el análisis de los problemas de seguridad en todo el ciclo de desarrollo del software. La plataforma de gestión de riesgos de aplicaciones de Veracode proporciona una visión completa y unificada de los riesgos en el código y las aplicaciones, lo que permite a los desarrolladores y a los equipos de seguridad solucionar los problemas rápidamente. Con la solución Veracode Fix, impulsada por IA, los equipos pueden prevenir proactivamente nuevas vulnerabilidades y reducir eficazmente los atrasos de seguridad existentes. El análisis contextual de la plataforma descubre las causas raíz, guiando a los desarrolladores hacia los siguientes pasos óptimos que maximizan la reducción de riesgos con el mínimo esfuerzo.
Wysopal cerró: "Nunca ha sido más importante para el sector de los servicios financieros mantenerse a la vanguardia de las amenazas de ciberseguridad en evolución, en particular con ataques cada vez más sofisticados impulsados por IA que amenazan la seguridad de sus activos. Insto a las instituciones financieras a priorizar la reducción oportuna de la deuda de seguridad mediante la adopción de herramientas de remediación y ASPM impulsadas por IA que pueden detectar, priorizar y corregir vulnerabilidades en cuestión de segundos".
El informe State of Software Security Financial Services 2024 de Veracode está disponible para su lectura en el sitio web de Veracode.
1 IBM, "Cost of a Data Breach Report 2024", IBM y Ponemon Institute, 30 de julio de 2024.
Acerca del informe State of Software Security Report
El informe State of Software Security 2024 de Veracode analizó datos de grandes y pequeñas empresas, proveedores de software comercial, subcontratistas de software y proyectos de código abierto. La investigación se basa en más de un millón (1.007.133) de aplicaciones de todos los tipos de escaneado, 1.553.022 escaneados de análisis dinámico y 11.429.365 escaneados de análisis estático. Todas esas exploraciones produjeron 96 millones de hallazgos estáticos sin procesar, 4 millones de hallazgos dinámicos sin procesar y 12,2 millones de hallazgos de análisis de composición de software sin procesar.
Acerca de Veracode
Veracode es líder mundial en gestión de riesgos de aplicaciones para la era de la IA. Impulsada por billones de líneas de escaneos de código y un motor propietario de remediación asistida por IA, la plataforma Veracode cuenta con la confianza de organizaciones de todo el mundo para construir y mantener software seguro desde la creación del código hasta el despliegue en la nube. Miles de los principales equipos de desarrollo y seguridad del mundo utilizan Veracode cada segundo de cada día para obtener una visibilidad precisa y procesable de los riesgos explotables, lograr la corrección de vulnerabilidades en tiempo real y reducir su deuda de seguridad a escala. Veracode es una empresa ganadora de múltiples premios que ofrece capacidades para asegurar todo el ciclo de vida de desarrollo de software, incluido Veracode Fix, Análisis Estático, Análisis Dinámico, Análisis de Composición de Software, Seguridad de Contenedores, Gestión de Postura de Seguridad de Aplicaciones y Pruebas de Penetración.
Obtenga más información en www.veracode.com, en el blog de Veracode, y en LinkedIn y X.
Copyright © 2024 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en Estados Unidos y puede estar registrada en otras jurisdicciones. Todos los demás nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. Todas las demás marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20241029161092/es/