Microsegmentación, pieza clave en el cumplimiento normativo de seguridad en el sector financiero

La microsegmentación se convierte en una poderosa herramienta de investigación y reporte de hallazgos para las entidades regulatorias.

Tras la pandemia las preferencias de los consumidores en América Latina siguen siendo impulsadas por una experiencia de compra en línea más digital, incluso muchas empresas están reportando una expansión superior al 100% en sus ventas de comercio electrónico. Con ello también se observa un liderazgo del comercio móvil; en 2025 el 78% de las transacciones por comercio electrónico en la región se realizará desde smartphones o celulares. Por otro lado, el comercio presencial está creciendo nuevamente, estimado en un 5%. Ante dicho panorama significa un mayor uso de las tarjetas bancarias como medio de pago y, por consiguiente, un aumento en transacciones fraudulentas.

En América Latina hay 99 millones de titulares de tarjetas de crédito, en comparación con 169 millones que únicamente son titulares de tarjetas de débito y 117 millones que no están bancarizados, de acuerdo con datos de la consultora Americas Market Intelligence. También esta firma reveló que entre 2019 y 2021, la región experimentó un aumento en ataques fraudulentos del 23%, lo que concuerda con el crecimiento del comercio electrónico, que en 2021 fue cercano al 31%, pero que continuará creciendo al 25% anual.

Al respecto, Patricio Villacura, especialista de Seguridad Empresarial para Akamai, expresó la urgente necesidad del sector financiero-bancario de Latinoamérica por incorporar controles que permitan entornos de operación más seguros y ordenados a fin de resguardar los datos críticos de los clientes. “América Latina es una de las regiones más fraudulentas del mundo. Por ello, las entidades que de alguna manera almacenan, procesan o transmiten datos de tarjetahabientes están obligados al cumplimiento del estándar PCI DSS (Payment Card Industry Data Security Standard), el cual se desarrolló para fomentar y mejorar la seguridad de los datos del tarjetahabiente, además de facilitar la adopción generalizada de medidas de seguridad de datos consistentes a nivel mundial”, precisó el experto.

PCI DSS no es la única normativa que muchas instituciones financieras deben cumplir, sin embargo es la más ampliamente difundida entre los diferentes países de América Latina, al ser el estándar de facto financiero, tanto o incluso más potente que normas de enfoque de continuidad operativa como Basilea II, otra de las normas ampliamente adoptadas en la industria. “El estándar PCI DSS se encuentra en la versión 4.0 publicada el año pasado para abordar las nuevas amenazas y tecnologías emergentes. Esta norma incluye requisitos que se refieren específicamente a los datos de cuenta (Account Data), los datos de los titulares de las tarjetas(Cardholder Data) y los datos sensibles de autenticación (Sensitive Authentication Data)”, precisó el experto.

A decir de Patricio Villacura, a medida que las propias normativas se vuelven más estrictas, las auditorías de seguridad son cada vez más comunes y las consecuencias de la falta de cumplimiento son mayores; esto incluye multas, daños a la reputación de la empresa e incluso pérdidas de ingresos hasta que se cumpla la normativa. Por ello, la microsegmentación se está convirtiendo en pieza clave para el cumplimiento normativo, como PCI DSS.

Poderosa herramienta refuerza la norma PCI DSS

Tanto las áreas operativas de TI como las de auditoría están preocupadas por velar que dichos “cumplimientos”, sean llevados a cabo de la mejor manera. Entonces, ¿cómo dar cumplimiento a estas regulaciones sin comprometer la operación del negocio financiero-bancario?, ¿cómo una solución de microsegmentación podría hacer este proceso de forma más rápida, ágil y simple?

“Si bien, la segmentación y en particular la microsegmentación de redes o el aislamiento de los entornos donde se hace el tratamiento de datos de los tarjetahabientes, no está expresamente definido por PCI DSS, es altamente recomendable no solo por el impacto en la reducción de costos  de la evaluación e implementación de la misma, sino en la disminución de la brecha de riesgo para las organizaciones al consolidar los datos de los tarjetahabientes en silos de almacenamiento debidamente asilados y controlados”, destacó Patricio Villacura.

El experto precisó que la clave de la microsegmentación es la identificación de comunicaciones, y por medio de estas, la identificación de activos y flujos críticos, y a su vez, la gestión de políticas restrictivas. “Entender este modelo de operación hace factible aplicar segmentación granular llegando al nivel de aislar un proceso específico de una aplicación dentro de un entorno financiero, permitiendo monitorear la actividad que está impactando positivamente en la operación del negocio. Aplicar microsegmentación permitirá acotar las superficies de ataque, regular el impacto sobre la operación y, por ende, generar diagnósticos mucho más rápidos ante eventuales fallos disminuyendo los tiempos de paros operativos e investigación forense para presentar resultados y evidencias a las respectivas instituciones reguladoras en cada país”, detalló Villacura.

Sin duda alguna, para las instituciones financieras reguladas de la región representa un gran desafío la adopción de las normas tipo PCI DSS y Basilea II o normas regulatorias locales que buscan mejorar los controles y capacidades de diagnóstico y respuesta ante potenciales ataques.  Bajo este contexto, la microsegmentación juega un rol fundamental no solamente porque permite, visualizar, identificar, segmentar, aislar, contener y controlar, tanto flujos como activos críticos, sino también se convierte en una poderosa herramienta de investigación y reporte de hallazgos para las entidades regulatorias.

Para el cumplimiento de PCI y mucho más, la microsegmentación permite al sector financiero-bancario obtener una visibilidad de todas las aplicaciones y cargas de trabajo a nivel de proceso, crear políticas flexibles que se centren en el cumplimiento normativo y aplicarlas para controlar una postura de seguridad general con el objetivo de estar preparado ante cualquier auditoría, finalizó Patricio Villacura.