Las características propias de la Banca implican que los niveles de ciberseguridad a los que se somete este sector sean de altísimo nivel. Entre otras, las pruebas de seguridad de las aplicaciones son fundamentales para estas organizaciones. Y también es importante garantizar que los desarrolladores no se vean ralentizados por el proceso de prueba o de actualización de las aplicaciones que entran en juego en una entidad.
Esto lleva a que el sector bancario necesite adecuar los riesgos dentro de la organización de acuerdo con sus sistemas existentes y mejorar el control y la eficacia del proceso de gestión de vulnerabilidades.
Bastet, herramienta desarrollada por la compañía tecnológica Wise Security Global, da solución a esta compleja casuística. Se trata de un software de orquestación inteligente del ciclo de vida de una vulnerabilidad. Correlaciona las vulnerabilidades detectadas y sus correcciones, de uno o varios softwares, mediante la automatización y centralización de los flujos de trabajo en una única plataforma. Bastet tiene base tecnológica open source.
Su valor diferencial en el mercado reside en ofrecer máxima seguridad en los procesos, su fácil implantación y la rentabilidad que ofrece su modelo de priorización por riesgo y no por la valoración realizada por una fuente de vulnerabilidad. Además, con esta herramienta, se facilita el modelo de la responsabilidad compartida de la ciberseguridad.
Índice de temas
El reto de la banca
Cada entidad bancaria necesita que una herramienta de orquestación de vulnerabilidades se adapte a sus necesidades específicas. Bastet ofrece esta personalización de la herramienta a demanda.
Además, debe cubrir los retos actuales de la banca:
- Disponer de un inventario de activos de la entidad e integrarlo en su CMDB (Configuration Management DataBase).
- Integrar todos los procesos de identificación de vulnerabilidades.
- Priorizar las vulnerabilidades conforme al apetito de riesgo de cada entidad.
- Mejorar el proceso de reporting.
- Facilitar a la dirección el seguimiento y control del proceso global de gestión de vulnerabilidades.
- Permitir flexibilidad para asumir nuevas necesidades.
Domingo Cardona, CEO de Wise Security Global, destaca de Bastet: “Esta herramienta proporciona la capacidad de identificar, en un único panel, una foto vital y en tiempo real del riesgo de exposición de una entidad bancaria y de cualquier sector sometido a requisitos de ciberseguridad avanzados. Conseguimos integrar la tan valorada visibilidad de los activos con la gestión de las vulnerabilidades”.
Resultados
Entre los beneficios obtenidos por una entidad bancaria gracias a Bastet destacan:
– Registro escalable: agrega datos e informes de la CMDB de la entidad, de todas sus herramientas de escaneo y otras fuentes de identificación de vulnerabilidades; – Gobierno centralizado: se implementan workflows configurables del proceso completo de gestión de vulnerabilidades; – Responsabilidad compartida: cada vulnerabilidad tiene asignado su propietario; – Optimización y eficacia. Reducción de tiempos y esfuerzos en los procesos de gestión de vulnerabilidades y mayor agilidad en el despliegue seguro de aplicaciones; – Threat Intel. Las entidades pueden integrar en esta solución sus fuentes y herramientas específicas de Threat Intel para mejorar la priorización de tratamiento de vulnerabilidades activas; – Panel de reportingúnico con la valoración de riesgo experto asociado a cada vulnerabilidad; – Mejora de la toma de decisiones en los Comités de Ciberseguridad y de Dirección. Las funciones de seguimiento y control permiten visualizar en tiempo real el estado y SLA asociados a la resolución de vulnerabilidades; – Mayor seguridad de la información de vulnerabilidades. Ya no tiene por qué haber ‘excels’ de vulnerabilidades circulando sin control.
En cifras: reducción de tiempos
Dentro de la valoración de reducción de tiempos antes y después de la implantación de Bastet, estos son los datos destacados:
- Tiempo dedicado a la investigación de vulnerabilidades: 10 – 25%
- Tiempo dedicado a la remediación: 1 – 10%
- Tiempo dedicado a la presentación de informes: 25 – 50%