Aumente la visibilidad de los riesgos para reforzar el cumplimiento de normas de seguridad

Si no puede ver un riesgo o vulnerabilidad, no podrá mitigarlo ni demostrar a las entidades reguladoras que está al tanto del problema. La falta de visibilidad es un desafío común para muchos equipos de ciberseguridad. 

Según un estudio de Forrester realizado en 2024, el 52 % de las empresas financieras están de acuerdo o muy de acuerdo en que carecen de una visibilidad completa de su entorno de IT. Ningún sector es inmune a las consecuencias del incumplimiento normativo. Entre 2023 y 2024, el número de organizaciones que pagaron más de 100 000 USD en sanciones aumentó casi un 20 %.

En la primera entrada de nuestra serie sobre el cumplimiento normativo, recomendamos adoptar un enfoque de seguridad por capas para mejorar la postura de cumplimiento. Corregir las lagunas de visibilidad mediante un enfoque proactivo es un paso clave para cumplir requisitos de seguridad, como:

• Evidenciar la implementación de controles
• Realizar evaluaciones de gestión de riesgos
• Elaborar informes para auditorías

En esta publicación, analizaremos los desafíos de visibilidad que enfrentan las empresas en términos de seguridad de red y protección de API, así como las capas de seguridad que pueden incorporar para fortalecer su nivel de cumplimiento. Porque contar con medidas de seguridad completas facilita el cumplimiento normativo. Y si identifica un riesgo, tiene más posibilidades de mitigarlo.

Escuchamos con frecuencia a líderes de ciberseguridad señalar que sus equipos carecen de las capacidades necesarias para supervisar de forma eficaz el tráfico de red. Esta limitación impide identificar factores de riesgo críticos, como qué activos están comunicándose entre sí, lo cual es clave para cumplir normativas como la norma de seguridad de datos del Sector de las tarjetas de pago (PCI DSS v4.0) y el Reglamento general de protección de datos (RGPD). 

Ambas regulaciones exigen una separación entre los datos del ámbito de aplicación y otros sistemas del entorno de TI, además de la capacidad de informar sobre los esfuerzos implementados. La visibilidad de la red también es un requisito fundamental en normas para los sistemas de gestión de la seguridad (ISMS), como la ISO/IEC 27001, que exige la segmentación de datos y de instalaciones de procesamiento para impedir que un atacante realice un movimiento lateral en la red.

Si bien muchas empresas cuentan con herramientas básicas, como los firewalls de red tradicionales, que proporcionan algo de visibilidad, estas soluciones no han evolucionado al ritmo del complejo entorno de TI actual, que incluye ecosistemas multinube y microservicios. Como resultado, los equipos de seguridad enfrentan dificultades para:

• asegurar el cumplimiento normativo en múltiples jurisdicciones donde operan, venden o colaboran con terceros; y

• obtener una idea clara de cómo interactúan las aplicaciones, los usuarios finales y las bases de datos por todas las redes.

Estas brechas de visibilidad limitan la capacidad de las empresas para demostrar cómo detectan y abordan ciberamenazas que pueden provocar filtraciones de datos, interrupciones operativas y la propagación de malware. Además, dificultan el cumplimiento de requisitos técnicos específicos, como el Requisito 1 de la PCI DSS v4.0, que exige configurar los firewalls para que restrinjan las conexiones entre redes fiables y no fiables.

Una forma de corregir esta brecha es implementar una capa de microsegmentación definida por software para visualizar, supervisar e identificar la comunicación entre los activos de la red. Este enfoque ofrece múltiples ventajas:

• Control preciso del tráfico de red, lo que permite a las organizaciones comprender, aislar y bloquear tráfico ilegítimo entre dispositivos dentro de un centro de datos específico (tráfico este-oeste), incluso en entornos locales y en la nube.

• Contención y mitigación eficaz del ransomware, mediante segmentación de la red en zonas controladas, donde se aplican controles de seguridad adaptados al atributo de riesgo de cada segmento.

• Mayor visibilidad del tráfico este-oeste, lo que permite a los equipos de seguridad identificar con claridad "quién puede acceder a qué", especialmente en lo que respecta a recursos críticos como los datos de tarjetas de crédito de los clientes.

Al evaluar las opciones de microsegmentación para mejorar la visibilidad en su red, opte por soluciones que ofrezcan información histórica y en tiempo real. Estas soluciones le ayudarán a obtener una validación durante las auditorías de cumplimiento para demostrar que los datos del ámbito de aplicación y los activos no se han visto comprometido.

También sabemos que algunos equipos de seguridad enfrentan dificultades para obtener visibilidad sobre el creciente número de API que manejan. Cada vez que un cliente, partner o proveedor interactúa digitalmente con una empresa, las API actúan en segundo plano para transmitir datos, que en muchos casos son altamente confidenciales. Los atacantes actuales saben que las API son muy vulnerables (y relativamente fáciles de explotar), ya que a menudo presentan errores de configuración y codificación y controles de autenticación incompletos.

Muchas empresas tienen una visibilidad parcial de su entorno de IT porque muchas de sus API permanencen en la sombra, fuera del alcance de las herramientas de protección tradicionales. Según nuestro Estudio sobre el impacto de la seguridad de API de 2024, solo el 27 % de expertos en seguridad que tienen inventarios de API completos saben cuáles exponen datos confidenciales, lo que supone un descenso con respecto al ya preocupante 40 % registrado en 2023.

Si filtramos las API por sector, se observa una visibilidad aún menor de las que proporcionan datos confidenciales cuando responden solicitudes tanto de usuarios legítimos como de atacantes.

• Sector sanitario: Solo el 24,0 % de las API
• Sector de los seguros: Solo el 20,7 % de las API
• Sector público: Solo el 18,5 % de las API

Para ilustrar lo que está en juego, tomemos como ejemplo el sector de la atención sanitaria. Si un atacante logra aprovechar una API mal configurada de un proveedor para acceder a registros de pacientes, esta brecha de seguridad podría desencadenar una investigación bajo la HIPAA y resultar en sanciones económicas.

Algunas normativas mencionan las API de manera explícita. Por ejemplo, la PCI DSS v4.0 impone directrices para garantizar que el software de una empresa utiliza de forma segura las funciones de los componentes externos, incluidas las API que transmiten información de pago —como los datos de tarjetas de crédito— desde una aplicación móvil hasta el sistema de un banco. 

En otros casos, aunque las API no se mencionan por su nombre, los requisitos normativos están claramente orientados a proteger las tecnologías que dependen de ellas para operar. Un ejemplo de esto es la Ley de Resiliencia Operativa Digital (DORA) de la Unión Europea, que tiene como objetivo ayudar a las empresas financieras que operan en la UE a contener ciberataques y recuperarse de ellos.

El artículo 3 de la DORA exige a las empresas que adopten soluciones y procesos de tecnologías de la información y la comunicación (TIC) que:

• minimizan los riesgos relacionados con la seguridad de datos, el acceso no autorizado y los defectos técnicos;

• previenen la falta de disponibilidad de los datos, la pérdida de los datos y las infracciones de integridad y confidencialidad; y

• garantizan la seguridad de la transferencia de datos.

La función principal de una API es facilitar una transferencia de datos rápida, fiable y segura. Por lo tanto, identificar y proteger todas las API que entran en contacto con los datos empresariales y realizar evaluaciones de riesgos es fundamental para cumplir los requisitos de la DORA. 

Estos controles también ayudan a mejorar el cumplimiento de las normas PCI DSS, el RGPD y una serie de directivas diseñadas para garantizar la ciberresiliencia y la seguridad de los datos. Si está pensando en implementar capas para mejorar la visibilidad de sus API y riesgos, priorice aquellas que puedan:

• Detectar todas las API de su entorno de IT, gestionadas y no gestionadas, incluidas las API zombis y en la sombra.

• Evaluar sus factores de riesgo (por ejemplo, los tipos de datos que han estado intercambiando y quién o qué puede acceder a esos datos).

• Utilizar información contextual para identificar riesgos como la filtración de datos, el comportamiento sospechoso, los bots maliciosos y los ataques a las API.

• Documentar flujos de datos 

• Generar informes de cumplimiento donde se demuestre por qué la estrategia de seguridad de API de la empresa está alineada con los requisitos normativos.

En conclusión, creemos el cumplimiento de los marcos y normativas de seguridad de la información requiere un enfoque por capas basado en la protección de diversas áreas dentro de la superficie de ataque.

No se pierda las próximas entradas de esta serie, donde hablaremos sobre las mejores prácticas de seguridad de acuerdo con lo que las entidades reguladoras actuales esperan en términos de cumplimiento de normas de seguridad, lo que incluye evitar el movimiento lateral a través de la red, las aplicaciones y las API.