Get best of the week

Mejora de la cultura de seguridad de la información en empresas fintech.

imagen

Las empresas modernas requieren un enfoque especial para la seguridad de la información. El departamento de seguridad de la información deja de ser solo un supervisor y controlador, comienza a hablar activamente con las personas y se convierte en un participante de pleno derecho en los procesos comerciales.

La compañía Finness Fintech tiene más de 70,000 clientes activos mensuales en todo el mundo, y todo el negocio está en línea. Los datos son nuestro principal activo y motor, por lo tanto, la protección de la información es la prioridad No. 1.

Exness emplea a más de 500 personas. Alrededor de 150 están empleados en I + D y TI, muchos miembros del personal de soporte técnico, gerentes de ventas, antifraude y servicios de cumplimiento. De una forma u otra, trabajan con datos confidenciales o tienen acceso a funcionalidades importantes, información interna, código, consolas de administración. Un error involuntario o falta de conocimiento del personal puede costarle millones de dólares a la empresa. No tiene que ir muy lejos para obtener ejemplos: las noticias están llenas de mensajes sobre filtraciones de un servidor de almacenamiento Elastic, MongoDB no seguro o un cubo S3, a menudo causado por un factor humano.

El hombre es el eslabón más débil en seguridad de la información, por lo que nos propusimos mejorar la cultura de seguridad de la información entre los empleados. Compartimos nuestra experiencia de lo que hemos hecho para esto y cómo evaluamos los resultados.

Dividimos la tarea en dos direcciones:

  1. Mejorar la comprensión de los problemas de seguridad entre los equipos técnicos.
  2. Mejore la comprensión de los problemas de seguridad entre todos los empleados, incluidos los profesionales que no son de TI.

Condicionalmente llamaremos a estas áreas "organizativas" y "técnicas". El trabajo en la primera dirección es transmitir problemas comunes de higiene digital, amenazas modernas, contramedidas y posibles consecuencias para las empresas. 

La segunda dirección es más especializada en la naturaleza. Los especialistas técnicos deben cumplir con las reglas de seguridad de la información en el curso de su trabajo, mientras que deben saber no solo por qué se debe hacer esto, sino qué exactamente y cómo.

Propósito - Conciencia de seguridad


Conciencia de seguridad es un concepto clave de seguridad de la información en una empresa. Los empleados cumplen con las reglas de seguridad de la información si las conocen, entienden y comparten. 

Transmitir las reglas a los empleados es una tarea clara. Motivar a seguir las reglas ya es más difícil. Sabemos que usar los cinturones de seguridad en un automóvil o lavarse las manos con agua y jabón reduce significativamente la probabilidad de malas consecuencias y lo hace automáticamente, sin sufrimiento moral. ¿Cómo adquirir el hábito de "lavarse las manos" antes de trabajar con datos?



El conocimiento de seguridad comienza con la comprensión de que los riesgos pueden ser realizados. Usted, su sistema realmente puede ser el objetivo del ataque. A través de la comprensión de los hábitos, la higiene digital se convierte en parte del ambiente de trabajo y la cultura interna. En otras palabras, los empleados siguen las reglas de seguridad de la información si entienden por qué esto es necesario y qué tan altos son los riesgos. No hay resistencia interna en este caso.

Sheriff o predicador?


Las empresas modernas prestan gran atención a la comodidad de los empleados y su estado psicológico. Esto significa que es bastante difícil aplicar medidas represivas incluso en el campo de la seguridad de la información: se debe mantener un equilibrio entre la libertad de acción y las reglas. Creemos que comprender las amenazas y un sentido de responsabilidad para un negocio funciona mejor que el miedo al castigo. Y la clave para la implementación efectiva de la seguridad de la información es la comunicación con los empleados y la comprensión de los problemas de cada producto y cada equipo.

De la teoría a la acción! 


Entonces, ¿cómo introduce nuestro equipo una cultura de seguridad de la información a nivel organizativo y técnico?

Capacitación y participación de los empleados.


Para los nuevos empleados, haremos una presentación sobre cómo se organizan los procesos de seguridad en nuestra empresa, cómo protegernos de los riesgos domésticos más simples, como el phishing, la fuga de contraseñas y la infección de malware.

Para todos los empleados, llevamos a cabo talleres (OSINT, protección de marca, inyecciones sql ciegas, máquinas de laboratorio pentest, técnicas de piratería específicas de la nube) y hacemos presentaciones en eventos internos. El entrenamiento interno regular y las demostraciones en vivo son muy importantes. Los ejemplos de explotación de vulnerabilidades típicas funcionan mejor que las largas conferencias. Una explicación en los dedos de lo que es la criptografía asimétrica, por qué se necesita un token y la forma más fácil de usar Vault es ahorrar mucho tiempo para los equipos técnicos.

Mini Blog de Seguridad de Redes Sociales Corporativas


Intentamos mantener un flujo constante de publicaciones del equipo del IB. Nuestros colegas deben ver que nos mantenemos constantemente al día, brindamos consejos, anunciamos innovaciones, tratamos de interesar y atraer a cada empleado.



Mitaps regulares, intercambio de experiencias.


En el techo de nuestra oficina en Limassol, además de hermosas vistas, existen todas las posibilidades de reuniones para más de 100 personas, que usamos regularmente. Dos o tres veces al año, reunimos especialistas y discutimos la seguridad de las aplicaciones, la gestión de riesgos, las prácticas de devsecops y otros problemas. A los eventos asisten empleados de la compañía y representantes de la comunidad local de TI, y aquí nuestra tarea principal en términos de formación de cultura interna es mostrar que los problemas de seguridad de la información son interesantes e importantes.



Phishing interno


Muchos empleados no creen que abrir un enlace o documento pueda ser dañino o no estar lo suficientemente atento. Llevando a cabo campañas internas de phishing, obtenemos estadísticas sobre la organización, que las personas cometen errores con mayor frecuencia, y mejoramos constantemente el programa de capacitación interna en términos de protección contra la ingeniería social y el phishing. También recibimos confirmación de que el phishing funciona.

Seguridad alimenticia


Para promover una cultura de desarrollo seguro y una mejor comprensión de los problemas de seguridad por parte de los desarrolladores, hemos implementado las siguientes prácticas.

Nos comunicamos constantemente con los equipos de productos.


Vamos a revisiones de sprint, comités de arquitectura, discutimos periódicamente los problemas actuales y los problemas con los equipos técnicos. Entonces nos involucramos en cada proyecto, entendemos mejor la atmósfera y las relaciones en los equipos. Podemos hacer recomendaciones sobre la marcha (qué, por qué y cómo proteger) y corregir las tareas en el trabajo atrasado. 

Desarrollamos un programa externo de recompensas de errores en la plataforma HackerOne


Durante más de tres años, hemos contratado expertos externos para buscar vulnerabilidades en nuestra infraestructura utilizando la plataforma HackerOne. En un año gastamos más de $ 50k en pagos de remuneración, que es bastante en comparación con las posibles pérdidas. Si no tiene un programa de recompensas de errores, le recomendamos que lo inicie. Por relativamente poco dinero, obtienes un pentest prácticamente infinito.

También utilizamos informes sobre vulnerabilidades y posibles consecuencias que encontró "alguien de Internet". Esta información ayuda a la empresa a decidir aumentar la prioridad y fortalecer los requisitos para la seguridad de la información en nuevos productos, introduciendo controles adicionales a nivel de control de calidad y controles automatizados.

Estamos buscando (¡y encontramos!) Campañas de seguridad en comandos para el control local de seguridad de productos


En las realidades modernas, cuando se usan los modelos Scrum / Agile, es importante en cada equipo tener al menos una persona que pueda actuar como guía para sus recomendaciones y animar la seguridad del producto. Idealmente, necesita una experiencia de seguridad completa en cada equipo, pero los recursos son siempre escasos. Después de un tiempo, Devsecops o el especialista en seguridad de aplicaciones puede crecer de Security Champion, por lo que esta es una buena oportunidad para cambiar el enfoque de un ingeniero o desarrollador de productos. En nuestro caso, logramos encontrar desarrolladores y desarrolladores que mejoraron significativamente su comprensión de los problemas de seguridad dentro de los equipos.

Cómo establecemos tareas de seguridad de la información para equipos de productos


Para organizar el trabajo, utilizamos la metodología OWASP ASVS en combinación con los riesgos comerciales descritos. Para cada equipo, presentamos una lista de controles: requisitos de seguridad del producto. Parece un conjunto de recomendaciones, en el que cada medida de protección corresponde a su propio riesgo. El documento muestra claramente lo que ya se ha completado, lo planificado y los riesgos en esta etapa del ciclo de vida del producto que acepta la empresa.

Por lo tanto, los equipos técnicos ven lo que hay que hacer, y los riesgos relevantes muestran al negocio por qué debe hacerse, qué posibles consecuencias pueden ocurrir si no se cumple.  

Si no se ha hecho algo, creemos que se aceptan los riesgos correspondientes y para cada producto elaboramos una deuda de seguridad técnica.

Un ejemplo de controles y riesgos relevantes:



Cual es el resultado? 


Para medir el efecto de todas las actividades, utilizamos indicadores que, en nuestra opinión, reflejan la dinámica de la penetración de una cultura de seguridad en todas las etapas de la vida del producto. 

En la dirección técnica de nuestros esfuerzos, utilizamos dos indicadores principales.

1. Índice de seguridad del producto

Este es un indicador integral de dos partes. La primera parte es una métrica rezagada, habla sobre el nivel actual de vulnerabilidad del producto. El segundo es predictivo, hablando de posibles vulnerabilidades en el futuro. Al realizar mediciones periódicas, podemos llamar la atención de los equipos sobre problemas con un producto específico y ayudar a resolverlos.

  • OWASP WRT — . , .
    -, . 
  • OWASP ASVS 3.0. , .
    - , . , , .

2. El resultado de un pentest regular realizado por compañías externas calificadas

Con base en los resultados de las pruebas de penetración externa, corregimos las vulnerabilidades encontradas y sacamos conclusiones para evitar la repetición de situaciones similares. 
Incluso los buenos resultados no nos permiten relajarnos, aparecen nuevas amenazas y vectores de ataque todos los días, los atacantes se vuelven más ingeniosos.

En la dirección organizacional, los resultados son más subjetivos:

  • Recibimos más mensajes de empleados sobre vulnerabilidades e incidentes potenciales que antes. Los empleados comprenden la importancia de la comunicación oportuna.
  • Los equipos de productos se encuentran en las primeras etapas del proyecto, y se entiende que prevenir un problema es mucho más fácil que solucionarlo.
  • , . , API, , .
  • GDPR — , , , .

?


  • ( , , , );
  • ;
  • KPI ;
  • , ;
  • Utilice un nivel alto y comprobado de seguridad del producto para obtener una ventaja competitiva.

Nos aseguramos de que se pueda lograr un buen nivel de seguridad no solo castigando, forzando e intimidando al equipo a través de los políticos y la NDA, sino también utilizando un enfoque diferente: explicando los riesgos, involucrando a las personas en el proceso de creación y observación de las reglas, estudiando y teniendo en cuenta los errores del pasado.

More articles:


All Articles