Este artículo fue escrito por Peter Gerdenitsch, CISO Group en Raiffeisen Bank International, y se basa en una presentación proporcionada durante el Imvision Executive Education Program, una serie de eventos centrados en cómo las empresas asumen la responsabilidad del ciclo de vida de seguridad de API.

Lanzamiento del programa «Seguridad en Agile».

Raiffeisen Bank International (RBI), con sede en Viena, opera en 14 países de Europa Central y del Este con aproximadamente 45.000 empleados. Nos enfocamos en brindar soluciones de banca universal a los clientes y también en el desarrollo de productos de banca digital para los mercados minorista y corporativo. En consecuencia, RBI tiene una importante división de I+D, que representa a una comunidad muy amplia de profesionales de TI e ingeniería en toda Europa.

En 2019, comenzamos a pasar a una configuración ágil basada en productos para RBI e implementamos varios roles de seguridad que contribuyen y trabajan juntos para lograr nuestros objetivos estratégicos. Como parte de este viaje, hemos creado el rol de campeón de seguridad para cada uno de nuestros productos en el equipo DevSecOps. Además de nuestra función central de «Diseño y arquitectura de seguridad», los especialistas en seguridad han comenzado a trabajar juntos para brindar soporte a los productos en la implementación de soluciones seguras.

Asumir la propiedad del aspecto de seguridad de su producto más que cualquier otra cosa significaba que los campeones de seguridad estaban bien ubicados para garantizar que las historias de seguridad se priorizaran durante las reuniones pendientes de acuerdo con el nivel de riesgo aceptable del propietario del producto.

También hemos establecido cepas que consisten en varios productos asociados con una línea de negocios específica para promover un sentido compartido de comunidad. A cada tribu se le asignó un papel diferente: «jefe del capítulo de seguridad».

Este rol fue apoyar a otros campeones de seguridad en su tribu con requisitos, evaluación de riesgos, patrones de diseño y arquitectura gracias a su amplia experiencia. Estos roles eran transparentes, por lo que el portador del conocimiento de seguridad para cada producto y cepa era conocido en toda la organización.

Finalmente, creamos una comunidad de práctica que incluye reuniones mensuales donde los maestros de seguridad de todos los diferentes productos pueden reunirse para intercambiar información, enseñar estudios de casos y, en general, compartir conocimientos sobre su práctica. También comenzamos a apoyar este esfuerzo de la comunidad con boletines de los lunes, actualizaciones semanales y, en general, alentamos un intercambio abierto de información, conocimiento y experiencia.

Más información sobre cómo asumir la responsabilidad del ciclo de vida de la seguridad de la API

Programa de Formación en Seguridad ‘Artes Marciales’

La intención era, y sigue siendo, convertir al campeón de seguridad en un rol totalmente dirigido por voluntarios, lo que inicialmente nos preocupó de que no encontraríamos suficientes voluntarios dispuestos. Afortunadamente, sucedió todo lo contrario, e incluso logramos contratar a dos personas para cada puesto para cubrir las vacaciones y las bajas por enfermedad. Parte del éxito probablemente se deba al hecho de que no limitamos el rol a los antecedentes, lo que significó que vimos muchos voluntarios de varias funciones comerciales y de TI.

Para apoyar aún más este rol, a principios de 2020 preparamos un programa de entrenamiento para nuestros campeones en el campo de la seguridad basado en el sistema de cinturones de artes marciales. Comenzó con un programa básico de capacitación en seguridad de 3 días, al que llamamos capacitación de cinturón amarillo. Funcionó y obtuvimos rápidamente una visión general del programa, lo que condujo al lanzamiento de una versión más reducida de dos días del Yellow Belt, dirigida a cualquier persona interesada en obtener más información sobre seguridad.

Este programa más corto y generalizado para todos fue diseñado para promover la colaboración y la conciencia en toda la organización al enfatizar la importancia de la seguridad en el ciclo de vida del producto y justificar el programa de seguridad del campeón. El día siguiente del programa Security Champions se centró en obtener más información sobre herramientas comerciales específicas de RBI, en particular el uso de escaneo de código fuente y herramientas de administración de acceso e identidad.

Con el tiempo, hemos creado más cursos de capacitación más avanzados para ayudar a los defensores de la seguridad a hacer su trabajo de manera más eficaz. Por ejemplo, tenemos un curso de seguridad API y un curso de seguridad en la nube para profundizar nuestro conocimiento de la seguridad en estos dominios. También apoyamos la certificación profesional a través de cursos externos al proporcionar a nuestros defensores de la seguridad el presupuesto y el tiempo de aprendizaje que necesitan para completarlos.

Asumir la responsabilidad del ciclo de vida de la seguridad de la API

De acuerdo con la Directiva de Servicios de Pago (PSD), los bancos han tenido una demanda cada vez mayor en los últimos años, y se espera que abran sus API para brindar a los clientes un fácil acceso a los datos financieros, incluso a través de herramientas y aplicaciones de terceros.

Esta regulación catalizó un fuerte movimiento hacia el uso de API, que ya se estaba preparando, y la posición y el consumo de API RBI aumentaron drásticamente. En los últimos años, RBI ha desarrollado muchas API: hoy, nuestro mercado de API tiene más de 100 API emitidas externamente, mientras que internamente hemos contado ~ 1000 API diferentes. El aumento en la implementación y el uso de API ha generado riesgos de seguridad, lo que nos ha llevado a pensar en formas de abordar la seguridad de API.

Debido a que nuestras API no estaban limitadas a aquellas que requerían las regulaciones de PSD, rápidamente aprendimos que no necesariamente teníamos una vista consistente de todas las API que implementamos. Al igual que muchas otras empresas en todo el mundo, se nos ha pedido que obtengamos una vista central de la API, dado el gran volumen y la cantidad de API utilizadas, para garantizar que se implemente un nivel adecuado y adecuado de seguridad.

Para abordar algunos de estos desafíos, hemos decidido establecer un Centro de Excelencia de Integración en Tiempo Real (RICE, por sus siglas en inglés), que sirve como la capa de administración central para el RBI, incluidas las API que se conectan a los sistemas bancarios centrales heredados de varias subsidiarias y adquiridos. empresa.

Como se muestra en el diagrama a continuación, la capa de administración central de la API tiene todos los microservicios conectados entre sí, cumple las funciones comerciales de la API y se conecta externamente a diferentes canales y casos de uso. Esta capa es beneficiosa para nosotros porque nos permite mejorar la experiencia del cliente, el rendimiento y la seguridad.

En términos de seguridad, de acuerdo con el enfoque «Security Agile», cada uno de los equipos de productos incluía un campeón de seguridad. Trabajan con expertos en el dominio, y el capítulo de seguridad coordina las medidas de seguridad de acuerdo con los niveles de riesgo determinados por el propietario del producto, definiendo prioridades en consulta con el propietario del negocio correspondiente.

Seguridad API: las claves del éxito

Desarrollar la seguridad de las API sobre una base sólida de colaboración significa que nuestras contrapartes comerciales y de desarrollo pueden comprender mejor el valor de la seguridad, por qué debemos hacerlo y la importancia de la protección de las API.

Lo que es más importante, estaba claro que la seguridad de la API era un esfuerzo de grupo y que todo el equipo compartía la responsabilidad en esta área:

Desde una perspectiva comercial, debido a que las API son una parte clave de la infraestructura de TI de una organización que debe exponerse externamente, les queda claro que intentarían infiltrarse en actores insidiosos que pretenden ser consumidores de API. El programa nos ayudó a darnos cuenta de que la seguridad de la API se comparte entre el propietario del producto y los equipos de seguridad de TI.

Desde el producto en sí, los elementos clave de la seguridad de API son una buena preparación, aprender de la experiencia e implementar otras capas de protección.

Además, existe un entendimiento profundamente compartido de que la seguridad debe tenerse en cuenta durante el desarrollo, incluso desde la etapa de diseño, y que ningún producto debe comercializarse sin una prueba de penetración exhaustiva.

Obtenga más información sobre cómo prepararse para las pruebas de seguridad para la era de la primera API

La gestión y alineación de la aceptación es quizás uno de los factores más importantes para implementar correctamente la seguridad de API en una empresa. Asegurarse de que sean conscientes de la importancia de la seguridad de la API es la clave para lograr esta aceptación.

Otro factor clave de éxito importante es el nivel de precisión de la tecnología de detección con la que elige trabajar en la ruta de seguridad de su API. Cuantas menos falsas alarmas reciba, mejor. Básicamente, esto significa para la API que puede detectar secuencias de comportamiento tratando de manipular la lógica y hacerlo a escala.

Para que la seguridad funcione, está claro que esta responsabilidad no debe limitarse a un departamento, sino que debe ser compartida por todos los equipos. Durante nuestras reuniones con la gerencia de RBI, también nos enfocamos en los beneficios de la solución Imvision y cómo nos permitió enfocarnos en las vulnerabilidades clave mientras entendíamos dónde estaban los errores, para priorizar la corrección y ahorrar recursos.

Al igual que con cualquier socio con el que elija trabajar, el nivel de cooperación es muy importante. Hubo una sensación general de que la plataforma Imvison proporcionaba no solo un poderoso mecanismo de seguridad, sino también una amplia experiencia, motivación positiva y la capacidad de responder a nuestras necesidades.