Evento DevOps Xperience

Junio 21 de 2019

"El ecosistema de APIs, retos de seguridad, técnicas y tecnologías para abordarlas"

Conferencista: Javier Humberto Galindo Ortegón

Las APIs son una tendencia creciente en el mercado digital. Conectar dos aplicaciones entre sí, para utilizar entre ellas sus propias funciones ha permitido a las organizaciones concebir novedosas formas de negocios y brindarle a su mercado objetivo servicios complementarios y de mayor valor, mediante la integración de diversas aplicaciones.

Sin embargo, con el tiempo, a mayor digitalización de los negocios han crecido los riesgos en la seguridad que así mismo requieren mayor atención y numerosas medidas que permitan reducir los impactos negativos que implica el “Go Digital” de las organizaciones.

En esta sesión conoceremos el impacto de las APIs en el mercado y cómo asegurarlas para generar una nueva oferta de valor sin exponerse a riesgos e impactos que perjudiquen la las organizaciones.

Más información aquí

Hace unos años decidimos implementar en nuestra Fábrica de Software Seguro una iniciativa llamada DevOps, esto nos permitió aumentar la calidad y seguridad del software construido así como automatizar nuestro proceso de Desarrollo para lograr mayores y mejores eficiencias.
 

Esta iniciativa en conjunto con  nuestras capacidades de Innovación, Transformación Digital y un equipo de personas altamente comprometido nos llevó a obtener la valoración máxima en CMMI Nivel 5, convirtiéndonos en una de las compañías de máximo nivel de madurez en la construcción de software a nivel mundial, valoración que tenemos solo el 1% de las empresas de desarrollo de software en Colombia.

¿Qué significa ser CMMI NIVEL 5?
 

Esto representa contar con mejores capacidades para la estimación de Proyectos de Desarrollo de Software, aumentar la credibilidad ante nuestros Clientes y poder asignar nuestros recursos tanto técnicos como humanos de forma adecuada, logrando así, eficiencia en costos, disminución de reprocesos, entregas a tiempo, con mayor calidad y poder aprender de nuestros errores.
 

Gracias CMMI Institute & Procesix por su apoyo!

Es indispensable ser consciente de los riesgos de fraude a los que está expuesta la compañía y tomar medidas al respecto.

Para comenzar un buen proceso de prevención, hace falta una mirada exhaustiva hacia el interior, y muchas veces unos ojos "nuevos" para identificar posibles vulnerabilidades en los procesos de la compañía.   

Dado que gran parte de los fraudes se concentran en los procesos de pago, le sugerimos esta lista de chequeo para iniciar la verificación en su empresa. 

1. Compruebe si existen controles antifraude formales o informales.  ¿Existe esa conciencia? ¿Se hacen comprobaciones en los procesos de pago?
2. Verifique que los controles antifraude involucren la protección de la información.   Especialmente con respecto a los procesos de pago, que presentan mayor incidencia de fraude. 
3. Confirme quiénes tienen acceso a los archivos para pago de nómina, de proveedores o a terceros una vez generados y antes de que sean procesados por el banco.  Entre más personas tengan acceso, mayor es el riesgo.
4. Cuestione si realmente todas esas personas necesitan tener acceso a la información.   Solo deberían hacer parte de la cadena de producción de la información quienes realmente agreguen valor al proceso. 
5. Contemple la implementación de una herramienta que le permita automatizar el proceso.  Existen en el mercado aplicaciones para evitar que personas no autorizadas tengan acceso a la información y puedan modificarla.  

¿Cómo funcionan las herramientas de software para controlar los procesos de pago y evitar el fraude?

Estas herramientas permiten automatizar los procesos de transferencia de archivos en procesos como el pago de nómina, pago a proveedores y pago a terceros de una organización. Al automatizar se disminuye el riesgo, pues menos personas tienen contacto con la información, y se minimiza la posibilidad de que ésta se filtre o se manipulen los valores.  

Utilizada por algunos de los bancos más grandes y representativos del país, ITAC SecureFile®, una solución desarrollada por ITAC, compañía fabricante de soluciones y consultora con 14 años de experiencia en el mercado, es una alternativa robusta y comprobada para realizar esta automatización anti-fraude.   

Para entender como funciona la herramienta, vale la pena recordar que dentro de un proceso típico de pago por transferencia electrónica existen: 

• Un sistema contable (que realiza el manejo y liquidación de la nómina y lo genera en un archivo plano, de texto), 
• Un portal web bancario (que garantiza que una vez recibe el archivo, lo tramita sin ninguna modificación) y 
• En medio de ellos, un funcionario que se encarga de tomar el archivo del sistema contable y cargarlo en el portal web del banco. 

Como el archivo plano es fácilmente editable y modificable,  es en esa zona intermedia donde una herramienta de software como ITAC SecureFile®  hace la diferencia. 

Una vez el sistema contable genera el archivo plano, de forma automática ITAC SecureFile®  lo cifra, utilizando mecanismos criptográficos con varias posibilidades en algoritmos simétricos o asimétricos, logrando que, si alguien tiene acceso a los datos, solo pueda ver signos y/o figuras.  En otras palabras, el atacante no lo va a poder entender ni modificar, ni tampoco inferir el contenido del archivo. Y suponiendo que el archivo fuera modificado o alterado, el banco podría reconocerlo y no lo procesaría. 

ITAC SecureFile®  cifra la información usando la "llave" del banco, que es la única entidad que la conoce y por ende puede descifrar el archivo. 

Variaciones de este proceso incluyen que el archivo pueda ser modificado pero manteniendo la trazabilidad (quien tuvo acceso al archivo y en qué momento, así como qué cambios realizó), y la posibilidad de realizar pagos desde diferentes bancos.

El pasado 28 de junio en el marco de la XVIII Jornada de Seguridad Informática - 2018 llevada a cabo por ACIS, en la sede de la Cámara de Comercio Salitre, ITAC hizo parte de este importante evento con la charla "DevSecOps. Desafio o aliado del líder de seguridad hacia la transformación digital" donde nuestro CEO Javier Galindo socializo los impactos que tiene la emergente metodología DevSecOps y cómo los equipos de seguridad informática deben ser parte activa en los procesos de desarrollo de software en la creciente transformación digital de las organizaciones.

Actualmente el desarrollo de software involucra la seguridad como un requisito para cumplir las reglas establecidas, sin embargo esta evaluación se está llevando a cabo al final de ciclo, lo cual puede implicar reprocesos sobre el desarrollo para dar cumplimiento a estos inconvenientes, ya que sin las políticas de seguridad implementadas adecuadamente, es imposible desplegar en ambientes de producción por los altos riesgos que pueden existir al exponerlo ante otros sistemas.

Galindo es consciente de este problema y comprende que es necesario realizar cambios en la forma de trabajo así como en la cultura en los equipos de desarrollo de software, para alinearse firmemente con los objetivos corporativos de las organizaciones y así mismo trabajar de la mano con las áreas de seguridad para funcionar como una sola unidad y brindar soluciones integrales a la organización. Al trabajar de esta manera, la probabilidad de éxito en las diferentes implementaciones es más alto, y los costos en las organizaciones pueden reducirse así como los tiempos de los mismos.

Para ITAC es muy valioso poder ser parte de estas importantes actividades, donde es posible brindar conocimiento e involucrar a la industria en las mejores prácticas , para potenciar las organizaciones del software en Colombia.

En la mañana del pasado 21 de junio en el Hotel Tequendama tuvimos la oportunidad de llevar a cabo junto con nuestro partner CA Technologies el seminario de "Arquitectura de microservicios como apalancador de innovación para las empresas" donde con el apoyo de Erik Wilde, gurú del API Academy, se desarrolló una jornada muy interesante en la cual se conocieron diversas realidades relacionadas con los microservicios, partiendo del conocer qué son, por qué se han popularizado en las grande corporaciones y finalmente comprender sus retos principales en todo el proceso de transformación digital el cual ya es una realidad hoy en día en las diversas industrias. 

Finalmente de la mano del CEO de ITAC, Javier Galindo, se dio respuesta a una de las grandes preguntas relacionadas con arquitecturas de software, como lo es comprender la diferencia entre APIs, SOA y microservicios. 

Con el constante desarrollo de nuevas metodologías y tecnologías que buscan optimizar y hacer más eficiente los procesos de software se presentan este tipo de disyuntivas dónde diferentes soluciones, son utilizadas para resolver diversas problemáticas, sin embargo en numerosas ocasiones no es claro en los equipos de TI el uso en los momentos adecuados de estos conceptos, por ello se realizó esta sesión de gran valor para los asistentes.

Para ITAC es muy valioso desarrollar este tipo de actividades y poder generar cuestionamientos que construyan en las áreas de TI y permitan generar aprendizaje y crecimiento en la industria. Continuaremos con estas dinámicas donde podamos compartir nuestro conocimiento y apoyar en la innovación de las organizaciones.