Una mejor seguridad, detrás de las estrategias de edge cloud en los servicios financieros
En la actualidad, las empresas de servicios financieros priorizan la seguridad por encima del rendimiento, pero ante la rápida evolución del primero, en este sector cada vez se busca más realizar cambios sustanciales que mejoren ambos aspectos.
En esta página
Nuestros informes sectoriales suelen dedicar mucho espacio y tiempo a la optimización de la velocidad y el rendimiento, considerándolos uno de los principales focos de la estrategia en la nube del sector en cuestión. Esta vez es diferente. El sector de los servicios financieros (finserv) está centrado en la seguridad; si bien el rendimiento sigue siendo importante, históricamente ha quedado en un segundo o incluso tercer plano. En cambio, en nuestro reciente informe sectorial para la prensa digital, queda claro que las principales editoriales comparten una motivación por optimizar el rendimiento de sus sitios y aplicaciones acortando los tiempos de carga de las páginas, motivación mucho más fuerte que en otros sectores. Es lógico, teniendo en cuenta que los ingresos de las editoriales suelen depender del tráfico web, y unos tiempos de carga más rápidos conllevan un mejor posicionamiento en buscadores, mejor experiencia de uso y más interacción. Otros sectores no sufren tanta presión, al tener unos ingresos y una rentabilidad que dependen menos de cada milisegundo que mejora el rendimiento del sitio.
Finserv y fintech
Mientras que el sector de la tecnología financiera gira en torno a los avances tecnológicos y suele introducir soluciones novedosas, los servicios financieros representan al sector tradicional, que ofrece servicios y operaciones financieras convencionales. A menudo, la tecnología financiera está dedicada en cuerpo y alma al rendimiento web y a recortar centésimas de segundo de donde sea, ya que este gremio se centra en las transacciones y el procesamiento de pagos. Así, resulta fácil imaginar por qué a organizaciones como Stripe o PayPal, por mucho que les preocupe la seguridad y la disponibilidad web, centran sus esfuerzos en la velocidad y la eficiencia. En cambio, pese a que mucha de la información y los datos de los servicios financieros necesitan enviarse a los empleados y clientes, el negocio no se da en el internet público, o cuanto menos a menor escala que la cantidad de transacciones que manejan Stripe u otras empresas.
No toques lo que ya funciona (por muy lento que vaya)
El riesgo de las violaciones de seguridad y filtraciones de datos pesa mucho más que el riesgo de un rendimiento algo más lento. Históricamente, las organizaciones de servicios financieros han optado por evitar el cambio y el riesgo dentro de la infraestructura de distribución, todo con tal de mantener la estabilidad y la seguridad. Sobre las instituciones del sector pesa abundante legislación y, como manejan datos muy sensibles y de gran valor, las violaciones de seguridad pueden tener consecuencias desastrosas. Una de ellas es la pérdida de ingresos por el tiempo de inactividad y el trabajo de mitigación, así como un gran riesgo para la imagen de la marca que afecte a la reputación y a ingresos futuros. Asimismo, también existe la responsabilidad legal, que puede traducirse en multas económicas y acciones legales y de cumplimiento aún más costosas, lo cual redundará en un perjuicio más grave para la imagen de la marca y un rendimiento financiero más bajo.
Las organizaciones de servicios financieros suelen atender a cuentas de altos ingresos o personas con mucho patrimonio neto, y si bien pasarse a otra institución de servicios financieros tiene su coste, una reputación negativa de la marca puede incitar a ello y provocar grandes pérdidas para la empresa. Es fácil de entender, pues, por qué estas instituciones evitan el riesgo a toda costa y priorizan la protección de sus aplicaciones.
Las mejoras en la seguridad empiezan a pesar más que los costes de migración
Muchas instituciones de servicios financieros empezaron hace bastantes años, y algunas de las principales datan de mucho antes de que apareciera internet. Quizás llevan décadas con proveedores antiguos cuyas complejas arquitecturas e implementaciones hacen que pasar a una mejor solución parezca una tarea abrumadora. Por muy evidentes que sean, las ventajas en cuanto a rendimiento no bastan para convencer a los responsables de ingeniería o DevOps a aceptar el coste único de sustituir una CDN antigua, porque tampoco les parece tan grave algo de lentitud y cierta estabilidad.
Sin embargo, sectores que hasta hace poco habían evitado deshacerse de proveedores «de toda la vida» están espabilando ante los cambios en el panorama de la seguridad y la llegada al mercado de mejores soluciones, sobre todo con herramientas para la protección de API y aplicaciones web (WAAP) o firewalls de aplicaciones web (WAF) y control de bots. Los CISO y responsables de ingeniería de la seguridad se están dando cuenta de que el coste de migración, que era demasiado alto para el rendimiento solamente, es fácil de justificar cuando estamos ante herramientas de seguridad mejoradas y muy bien integradas, capaces de bloquear con mayor precisión con muchos menos ajustes y mantenimiento y resolver incidentes mucho más rápido. Por si esto fuera poco, a la satisfacción de los equipos de DevOps se le suma una mayor descarga del origen, menos gasto en tráfico de salida y una distribución de sitios y aplicaciones más ágil.
10 ventajas de seguridad que justifican grandes migraciones
Las mejores herramientas de seguridad han destacado por la facilidad de uso, precisión, reducción del esfuerzo, aumento de la productividad y producción de inteligencia avanzada sobre amenazas.
En Fastly, día tras día hablamos con clientes que no comprenden lo que se están perdiendo. Cuando empiezan a usar nuestras soluciones de control de bots y el WAF de última generación, prevén que sean como los WAF antiguos que siempre han usado: con múltiples falsos positivos, dificultad de uso, escasa visibilidad y que impliquen un gran esfuerzo a la hora de mantener y actualizar reglas de expresiones regulares. Cuando clientes como Duolingo y tantos otros se dan cuenta de que existe una opción que funciona y les facilita la vida, ya no hay vuelta de hoja. Estas 10 capacidades enumeran lo que se debería esperar y explican por qué cada vez más equipos dan el paso de realizar la migración.
1. Facilidad de uso
La herramienta tendría que ser fácil de usar, y no nos referimos a que lo sea en comparación con los WAF y herramientas de seguridad antiguos, porque el nivel es demasiado bajo. Esta característica implica un cambio de paradigma en el que es fácil mantener los falsos positivos a raya, con una seguridad robusta y sin sacrificar el rendimiento, dado que respondes en tiempo real a nuevas amenazas.
El retardo de protección debería ser muy breve, tanto a la hora de desplegar como a la hora de responder a nuevas amenazas; hablamos de minutos, en vez de días o semanas, para responder con soluciones efectivas. Tendría que ser fácil dar con la respuesta a preguntas básicas como «¿por qué tenemos este pico de tráfico?» o «¿este tráfico es legítimo o no?»
2. Más control y menos dependencia de servicios profesionales
La herramienta tendría que dar más control a tu equipo, y la facilidad de uso debería apuntalar la confianza a la hora de ejercer ese control. Tendrías que poder realizar cambios en las reglas y la configuración con total seguridad y confianza, para luego revisar cómo hayan afectado esos cambios en un entorno de pruebas en vivo y, acto seguido, implementarlos. Muchas organizaciones sufren de cuellos de botella porque recurren para todo a equipos de servicios profesionales que resultan ser tan lentos como caros, y tardan demasiado tiempo cada vez que hay que adaptarse y protegerse ante un nuevo ataque.
3. Despliegues fáciles y rápidos
Tu nueva solución debería poder desplegarse y empezar a protegerte en cuestión de minutos, no semanas ni meses. Así de claro. Esto sirve de referencia desde el principio para saber lo flexible que será a medida que la uses, y un buen punto de partida es si hay muchos clientes actuales que puedan confirmar esos tiempos. Para Fastly, es clave facilitar el despliegue y, para dar ejemplo, nuestro WAF de última generación puede operar en menos de 10 minutos. Aquí encontrarás más información.
Tras el despliegue inicial, la solución también debería ser fácil de desplegar por parte del personal de desarrollo en sus flujos de trabajo existentes. Terraform y la compatibilidad general con la CI/CD pueden facilitar el despliegue en un abrir y cerrar de ojos con cada actualización o revisión que se publique, lo cual mejorará el flujo de trabajo de DevSecOps a lo largo de tu proceso de desarrollo.
4. Despliegue en cualquier entorno (con consolidación de proveedores incluida)
Para cumplir con lo de «facilidad de uso», hay que ofrecer una experiencia unificada. Por ejemplo, si tienes que pasar de un WAF a otro para ajustar y mantener tus reglas de seguridad, da igual si uno de ellos es fácil de usar, porque el nivel de tu seguridad lo marcará el que peores prestaciones ofrezca. Supongamos que, de inmediato, solo puedes proteger una parte de tu entorno. En tal caso, sigues sin una buena protección, ya que tendrás que esperar a unos servicios profesionales que protejan el resto de tu infraestructura.
La facilidad implica flexibilidad para desplegar en cualquier infraestructura, así como observabilidad de todos los entornos en un solo panel. Trabaja en la nube, en contendedores, en centros de datos físicos, en entornos híbridos o en el edge, siempre con la tranquilidad de que lo que decidas con respecto a la arquitectura no conllevará problemas de seguridad.
Y también hay… consolidación de proveedores. La otra ventaja es que, a menudo, puedes consolidar proveedores de seguridad y deshacerte de soluciones específicas que solo resolvían parte de los problemas, lo cual redunda en ahorros que se suman al resto de ventajas en seguridad y usabilidad.
5. Precisión sin falsos positivos
Los falsos positivos no deberían ser una preocupación. Si aún lo son, es que utilizas un WAF obsoleto, ya que hay soluciones nuevas y mejores que han innovado para facilitar un bloqueo preciso. Descubre más acerca de la evolución del bloqueo.
La capacidad de establecer umbrales para ataques sin configuración alguna (y la de bloquearlos al instante) también aporta valor rápidamente y permite habilitar el modo de bloqueo sin preocuparse de los falsos positivos. Además, si gozas de buena visibilidad, podrás ajustar los umbrales a lo largo del tiempo para tener una precisión óptima y mitigarlos mejor.
6. Fácil creación y mantenimiento de reglas
Crear y desplegar reglas tendría que ser un proceso fácil, sencillo y transparente, que fuese cuestión de minutos y diera confianza en que no se vayan a generar falsos positivos. Estas herramientas deberían ser flexibles para crear reglas que resuelvan los problemas que detectes. Las reglas con expresiones regulares pueden resultar útiles y seguir formando parte de tu protección, pero necesitas maneras más sencillas de bloquear nuevas amenazas tan pronto como las detectes.
7. Bloqueo preventivo e inteligencia de amenazas
La mayoría de usuarios de WAF los ven como una herramienta exclusivamente reactiva pero, con una inteligencia más avanzada ante amenazas, puedes bloquearlas incluso antes de que realicen una petición o alcancen el WAF. Esta capacidad aporta una ventaja adicional, que es la de bloquear grandes volúmenes de tráfico fraudulento que antes hubiera costado reconocer; así, se puede reducir notablemente el tráfico que llega al origen. Descubre más en este informe generado desde el Network Learning Exchange de Fastly, que facilita este tipo de bloqueo preventivo basado en la dirección IP.
8. Control de bots
Los bots tienen una influencia enorme en el panorama de la seguridad, y esa influencia no deja de crecer. Tu solución de gestión de bots tendría que satisfacer todos los aspectos mencionados anteriormente, sobre todo la facilidad de uso y despliegue, un mayor control, precisión sin falsos positivos e inteligencia de amenazas. No obstante, para sacarle aún más provecho, puedes integrarla con tu WAF bajo el mismo panel de control y desplegarla en todos tus entornos. Por último, tu solución de gestión de bots debería dar pie a consolidar proveedores, en vez de añadir complejidad a tu stack de seguridad.
9. Observabilidad con datos prácticos
En cuanto actives tu solución, deberías tener acceso a paneles que den información en tiempo real, con datos que permitan determinar fácilmente qué ocurre, por qué ocurre, y cómo resolverlo con rapidez. No pecamos de optimismo: capacidades nuevas de esta índole son las que están empujando a las organizaciones a decidirse por invertir en el cambio. Descubre el ejemplo de la experiencia de Stripe cuando al fin gozó de visibilidad del tráfico en tiempo real de la mano de Fastly.
En definitiva, tendrías que tener acceso a algo más completo que a unos paneles o unos informes enviados por lotes tras pasar por servicios profesionales. El acceso debe ser a registros en tiempo real, con todos los datos a tu disposición para transmitirlos adonde quieras. Son tus datos y te corresponde tener pleno acceso a ellos.
10. Asistencia técnica
La satisfacción de los clientes con respecto a la asistencia que ofrezca un proveedor debería estar por las nubes. Los problemas de seguridad deben resolverse con rapidez, mediante soluciones que protejan al cliente ante todo. La asistencia técnica no puede convertirse en otro cuello de botella que acarree retrasos, ni puede dejar tu organización expuesta durante largo tiempo después de que se detecte una vulnerabilidad.
Los firewalls de aplicaciones web son una parte esencial de tu infraestructura de seguridad, pero no todos son iguales.
Más informaciónVentajas de seguridad de la mano de la plataforma
Las 10 ventajas en el terreno de la seguridad que acabamos de enumerar suelen ayudar a las organizaciones a argumentar en favor de la migración, pero se acumulan más ventajas al pasar a una mejor plataforma de edge cloud. Puedes empezar a ver la proporción de aciertos de caché y la descarga del origen como una suerte de métricas de seguridad, dado que te permiten reducir la superficie de ataque en el origen. Cuando la informática en el edge goza de una fuerte protección, como la de Fastly, por el aislamiento de los entornos y las peticiones, cualquier actividad realizada en el edge también mejora el estado de tu seguridad. Asimismo, unas mejores integraciones de CI/CD garantizan una cobertura más completa y facilitan las DevSecOps. Encontrarás más información en La guía de la seguridad multicapa para aplicaciones.
Menos costes y menos carga a origen gracias a la seguridad
Por mucho que la seguridad sea la razón principal para emprender estas migraciones, si te has informado bien sobre las plataformas de edge cloud, sabrás que también hay grandes ventajas en otros terrenos.
A continuación, exponemos cuatro razones de peso por las que a las organizaciones les importa la descarga del origen. Si quieres saber más motivos, escríbenos y estaremos encantados de compartirlos.
1. Reducción del tráfico que llega a tu origen
Cuando no gozas de buena visibilidad de las peticiones fraudulentas y maliciosas que llegan a tus sitios y aplicaciones, desconoces la proporción de tu tráfico que proviene de bots u otros ataques y no de peticiones reales. Una mejor visibilidad y capacidad de bloqueo (sin falsos positivos) puede influir notablemente en la reducción de la carga de tráfico que soporta tu origen.
2. Gran reducción en los costes de tráfico de salida
Una reducción significativa en el tráfico gracias a un bloqueo más preciso también rebajará tus costes de tráfico de salida, dado que ya no tendrás que enviar contenido a ese tráfico fraudulento. Recuerda que, si bien el principal motivo de la migración es mejorar la seguridad, también tienes la oportunidad de elegir la plataforma del edge que ofrezca una mayor descarga del origen y mayor rendimiento a la hora de distribuir contenido. Hay varias maneras de rebajar de forma sustancial los costes de tráfico de salida. En el siguiente apartado explicamos más a fondo cómo influyen las capacidades avanzadas de almacenamiento en caché.
3. Reducción en los costes de gastos de capital (CapEx) e infraestructura
Si dispones de una plataforma de distribución de contenidos superior que reduzca el tráfico fraudulento, mejore el almacenamiento en caché y disminuya la carga a origen, podrás reducir tu infraestructura al recibir menos tráfico regular, con la tranquilidad de saber que los grandes picos de tráfico legítimo se pueden atender en el edge con un impacto escaso en el origen. Por su parte, los picos de tráfico fraudulento causados por ataques quedarán bloqueados en el edge, antes de que te alcancen. Así, gozarás de protección ante costes inesperados por sobreutilización y podrás prever mejor el presupuesto.
4. Una infraestructura más pequeña exige menos mantenimiento
No se trata solamente de reducir tu CapEx; también puedes rebajar tus gastos operativos (OpEx) en cuanto un mejor bloqueo y una menor carga en origen te permitan disminuir las inversiones en infraestructura. Con un entorno de menor envergadura, tus equipos pasarán menos tiempo realizando tareas de mantenimiento, actualización y seguridad, para dedicar más esfuerzos a resolver otros problemas de tu organización.
Una mejor plataforma con un mejor almacenamiento en caché es dinero ahorrado
Es fácil caer en la trampa de pensar que todas las CDN son más o menos iguales, sobre todo si tu prioridad y el foco de tu decisión giran en torno de la seguridad. En el sector de los servicios financieros, gran parte de la estrategia con respecto a las CDN y la edge cloud descansa en la idea de que la velocidad y la descarga tienen que ser «buenas y punto», como lleva siendo los últimos 20 años. Las métricas de descarga llevan a confusión porque hay grandes diferencias que parecen pequeñas según como se analicen. Por ejemplo, en los siguientes gráficos, vemos que una «CDN excelente» puede alcanzar el 95 % de descarga (o más), mientras que una «CDN buena» se acerca al 90 %. Se podría pensar que no pasa nada por un 5 % de diferencia y que esa no debe ser la prioridad, pero si miramos el gráfico n.º 2 (tráfico a origen), vemos nada menos que un 50 % de reducción.
Si empiezas con un tráfico total de 100 GB, una CDN excelente cargará con un 95 %, lo cual deja 5 GB a origen. Una buena CDN solo cargará con un 90 %, lo cual envía 10 GB (el doble) al origen.
Una mejora del 5 % en el rendimiento de la descarga a la CDN puede conllevar una reducción del 50 % en la carga en origen.
Almacenar de todo en caché
Existen numerosas razones por las que una CDN y plataforma de edge cloud de primera siempre rendirá mucho mejor que una CDN antigua o incluso que una CDN relativamente buena (si quieres conocerlas todas, ¡escríbenos!). Uno de los métodos más fáciles de mejorar las métricas de rendimiento y la descarga del origen es almacenando contenido dinámico en caché. El tráfico de API es un ejemplo excelente de contenido que, desde sectores como los servicios financieros, se ve como imposible de almacenar en caché, pensando (equivocadamente) que es demasiado dinámico y se actualiza con demasiada frecuencia como para que tenga sentido distribuirlo desde la CDN. Estamos ante una gran oportunidad perdida, no solamente para los servicios financieros, sino para cualquier otro sector, como SaaS o los servicios sanitarios, que subestiman las ventajas de distribuir más contenido desde la caché.
Sin ir más lejos, Instant Purge de Fastly puede purgar contenido a nivel mundial en 150 ms (a 31 de diciembre de 2022). Esto significa que cualquier contenido que se actualice desde el origen a intervalos más grandes que 150 ms se puede distribuir desde la memoria caché, y hace falta un volumen sorprendentemente bajo de peticiones por segundo (RPS) de dichos datos para lograr una gran cantidad de descarga de tráfico del origen.
Este gráfico muestra el porcentaje de descarga de una API o punto de conexión de petición de datos en tu infraestructura, según la frecuencia de actualización con nuevos datos (desde 200 ms a una vez al día), comparada con el número de peticiones por segundo que se envía a dicho punto de conexión. Como puedes ver, incluso datos que se actualizan cada 200 ms pueden arrojar nada menos que un 50 % de descarga con solo 10 RPS. Por si fuera poco, la mayor parte de este gráfico es verde, con más de un 90 % de descarga. Ante estas cifras, cualquier API podría atenderse desde la memoria caché. Cuando decimos que los clientes de Fastly consiguen un 189 % de retorno de la inversión, se trata de estadísticas que son posibles, en gran parte, gracias a este nivel de ahorro en el tráfico de salida.
Pasado a dólares con unos cálculos aproximados, esto es lo que nos da: con una proporción de descarga del 90 % y un coste de tráfico de salida de 0,05 USD por GB, basta con un tamaño medio por petición de 1 MB y un volumen de 5 RPS para ahorrar 120 000 USD al año. Si lo extrapolamos a cada API y parte de tu infraestructura que atiende peticiones, se entiende que un 10 o un 15 % adicional de descarga del origen no parezcan mucho, pero puede conducir a una gran simplificación de la infraestructura y a ahorrar mucho presupuesto.
Las plataformas modernas también optimizan la productividad
El dinero no lo es todo: una mejora de la productividad también da numerosas ventajas. Cuando no hay que esperar a que unos servicios profesionales te lo hagan todo, tienes mucho ganado en cuestión de costes y tiempos, pero si a eso añadimos observabilidad mejorada, información más práctica, un tiempo de mitigación más corto y mucha menor carga de ajustes y mantenimiento, también resolvemos otros problemas. Ampliar equipos de seguridad y contratar a expertos en SecOps y DevSecOps resulta difícil, dado que este personal está muy demandado y es caro en comparación con otros puestos. Una plataforma que facilita y agiliza la resolución de problemas multiplica la productividad, aligera la presión por ampliar esos equipos, reduce el desgaste del personal y mejora la retención.
En Fastly, nuestro excelente servicio de asistencia ayuda a resolver los problemas con rapidez, pero también damos la opción de contratar nuestro Managed Security Service, que ofrece una alternativa económica a la contratación de más personal sin por ello agotar el presupuesto de operaciones.
En nuestra página específica de soluciones encontrarás más información acerca de Fastly y nuestra oferta para el sector financiero.
Recursos relacionados
Si quieres llevar el rendimiento o la seguridad al siguiente nivel, esta guía te ayudará a alcanzar tus objetivos con creces.
Web application firewalls are a critical part of your security infrastructure, but they’re not all created equal.
Discover how organizations use Fastly to improved web performance, reduce costs, increase revenue, and enhance customer experience
See how solutions that works with your existing processes can improve security while making your life easier and your teams faster.
Entra en una red mundial más potente.
Hemos diseñado nuestra red para que sea lo más eficiente posible. Tenemos puntos de presencia (POP) ubicados estratégicamente, así que podrás ajustar la escala a la demanda y distribuir contenido sin problemas durante grandes acontecimientos y picos de tráfico. Para tu tranquilidad, te ofrecemos un rendimiento que nunca te va a fallar, dondequiera que estén los usuarios mientras navegan, compran, ven contenido o desarrollan su actividad empresarial.
353 Tbit/s
de capacidad de la red del borde1
150 ms
de tiempo medio de purga2
Más de 1,8 billones
de peticiones diarias atendidas4
casi el 90% de los clientes
de los clientes usan nuestro
WAF de última generación
en modo de bloqueo3
Al 31 de marzo de 2024
A fecha de 31 de diciembre de 2019
A fecha de 31 de marzo de 2019
Al 31 de julio de 2023
Planes de soporte
Fastly ofrece varios planes de soporte adecuados a cada necesidad: Standard, Gold y Enterprise.
Standard
Gratuito y disponible desde el momento en que te registras en Fastly.
Gold
Alertas proactivas sobre sucesos de alto impacto, tiempo de respuesta ante incidentes más rápido las 24 horas y garantía en el Contrato de Nivel de Servicio (SLA) de un 100 % de tiempo de actividad.
Enterprise
Ofrece las ventajas añadidas de derivación urgente para casos de soporte y respuesta a consultas las 24 horas (no solo incidentes).