A medida que la industria bancaria de Pakistán ha seguido evolucionando y desarrollándose, los reguladores gubernamentales han hecho su parte para mantener el impulso de la industria mediante la emisión de nuevas directrices en respuesta a los crecientes riesgos y amenazas. La más reciente de ellas, conocida como Política de Ciberseguridad 2021, exige que los bancos modernicen los sistemas y procedimientos que tienen establecidos para detectar, responder y, en última instancia, frustrar los ciberataques en todas sus formas, desde el malware, la suplantación de identidad y la suplantación de identidad hasta el "robo" de datos de las tarjetas de los cajeros automáticos.
Para el gobierno de Pakistán, la intención de estas nuevas reglas de ciberseguridad era poner al día a los bancos del país, que hasta ese momento se habían centrado principalmente en el crecimiento y la rentabilidad, en un área en gran parte descuidada. Entre otras medidas, la nueva política exigía que los bancos mantuvieran unas capacidades de seguridad básicas, incluidos centros de operaciones de seguridad (SOC) y herramientas de respuesta automatizada que funcionaran 24 horas al día, 7 días a la semana.
A principios de 2019, cuando la política aún se estaba redactando, Askari Bank, como la gran mayoría de los bancos en Pakistán, solo tenía las capacidades de seguridad más rudimentarias, un gobierno de seguridad limitado y ningún personal de seguridad dedicado. El relleno de esa brecha fue el mandato principal de Jawad Khalid Mirza, que se unió al banco en marzo como director de seguridad de la información (CISO). "Desde el principio", explica, "el fuerte apoyo del consejo de administración propició un clima favorable a la transformación que había previsto". "Nuestro Consejo de Administración era consciente de cómo los bancos de todo el mundo estaban invirtiendo en seguridad", dice. "Reconocieron que sin las capacidades de ciberseguridad adecuadas, así como los profesionales adecuados, no podemos avanzar".
<20 incidentes de seguridad
Reducir el número de incidentes de seguridad de unos 700 al día a menos de 20, al disminuir drásticamente el número de falsos positivos.
5 minutos
Se redujo el tiempo necesario para la reparación de un promedio de 30 minutos a un promedio de 5 minutos mediante la implementación de una respuesta automática
Quizás el desafío central que enfrentó Jawad Khalid Mirza fue la necesidad de construir y dotar de personal un SOC desde cero. Para llegar, tendría que elegir la solución de software de seguridad que abordaría de manera más eficiente y rentable las necesidades técnicas, incluida la integración de la solución con los principales sistemas bancarios de Askari Bank. Además, necesitaba colocar al equipo para establecer y gestionar las operaciones técnicas diarias de la SOC, incluida la detección y gestión de incidentes de seguridad importantes. La tarea requería experiencia en SOC y la encontró en Umair Shakil.
Pocos días después de unirse a Askari Bank como jefe del equipo SOC, Umair Shakil estaba en profundas deliberaciones con Jawad Khalid Mirza sobre la importante decisión de la plataforma. En su anterior puesto, dirigir las operaciones de seguridad de uno de los mayores proveedores de telecomunicaciones de Pakistán, Umair Shakil había desplegado con gran éxito la solución IBM® Security QRadar. Como el resultado directo de su experiencia positiva, IBM® Security entró a la lista de finalistas, junto con las soluciones de seguridad de Microsoft y Splunk.
Basándose en las pruebas de concepto presentadas por cada proveedor, Umair Shakil y Jawad Khalid Mirza realizaron rigurosos ejercicios de evaluación comparativa basados en tres dimensiones principales: rendimiento del sistema, interoperabilidad y facilidad de uso. "Además de estos factores", explica Jawad Khalid Mirza, "la elección de la plataforma QRadar refleja su confianza en la hoja de ruta que IBM ha propuesto". "Nos vemos realmente alineados con la dirección en que IBM va con la plataforma QRadar", dice. "Para nosotros, refleja el compromiso de IBM de hacer una gran solución de seguridad aún mejor".
Al observar los atributos que favorecieron a la solución QRadar sobre los de Microsoft y Splunk, Umair Shakil unifica la facilidad de integración como uno de sus puntos fuertes particulares. "Una de las mejores cosas de QRadar es que ofrece múltiples formas de integrarse con nuestros sistemas bancarios centrales, en lugar de un solo método", dice. "Como esperábamos, eso demostró ser una gran ventaja durante la implementación".
Para ofrecer la solución, Askari Bank se comprometió con el socio comercial de IBM, Software Productivity Strategists, Inc. (SPS), que trabajó en estrecha colaboración con Umair Shakil y su creciente equipo de SOC. Para la detección de amenazas, el componente principal de la solución es IBM® Security QRadar SIEM, su producto de información de seguridad y gestión de eventos que permite al banco agregar registros de varias fuentes dentro de un único repositorio. Esto, a su vez, permite al personal de SOC realizar correlaciones y escalar diferentes registros para identificar y priorizar rápidamente los incidentes de seguridad.
Cuando se trata de responder a incidentes de seguridad, la regla general del banco era automatizar siempre que fuera posible. Su enfoque básico consistía en emplear las capacidades del manual con IBM® Security QRadar SOAR, su solución de orquestación, automatización y respuesta de seguridad. En la fase de implementación inicial, SPS propuso una serie de casos de uso basados en su experiencia en la implementación de escenarios de respuesta automática para otros clientes. Luego, estos casos de uso se tradujeron en manuales específicos que definían la secuencia en la que cada incidente se escalaría a niveles de respuesta más altos o, si fuera necesario, desencadenaría la intervención de un miembro del equipo de respuesta del SOC.
El equipo de Askari Bank, que ha trabajado con SPS para implantar 10 libros de jugadas, sigue desarrollando más, con la ayuda de SPS, con el objetivo final de disponer de unos 35 libros de jugadas automatizados. Para Nayab Akbar, vicepresidente adjunto de Seguridad Empresarial de SPS y un actor clave en el compromiso, el progreso del banco es una señal clara de que el equipo de SOC está ganando terreno. "Hoy en día, el equipo de Askari está realmente discutiendo los casos de uso de seguridad por sí mismos, y saben cómo traducirlos en libros de jugadas", dice Akbar. "Ahí es exactamente donde quieres que estén tus clientes: dedicando su tiempo y esfuerzos a idear casos de uso para automatizar".
Aunque impedir que las amenazas se conviertan en brechas de seguridad es la medida definitiva del éxito de un SOC, la eficacia con la que lo hace también es clave a nivel operativo. Y ahí es donde los esfuerzos de automatización de Askari Bank realmente han funcionado. Gracias a la capacidad de QRadar SIEM para eliminar los falsos positivos, el SOC del banco ha reducido el número de incidentes de seguridad de unos 700 diarios a menos de 20. Además, las guías de estrategias QRadar SOAR implementadas en el SOC permiten al personal resolver estos incidentes en un promedio de cinco minutos, en comparación con hasta 30 minutos antes de la transformación de seguridad del banco.
Como señala Umair Shakil, todas estas mejoras de la eficiencia impulsadas por la automatización significan que el personal del SOC puede filtrar los incidentes de baja prioridad y los falsos positivos que pueden inundar un SOC, y en su lugar centrarse en abordar los verdaderos riesgos y buscar vulnerabilidades. "Para que un SOC sea efectivo, la capacidad de priorizar nuestra respuesta a los riesgos de seguridad más urgentes es casi tan importante como la detección", dice Umair Shakil. "En ese sentido, la solución QRadar que implementamos ha hecho que nuestro equipo sea mucho más eficaz para abordar el panorama de amenazas".
Es importante destacar que significa amenazas procedentes tanto del exterior como del interior del banco. Y eso llega a uno de los principales problemas de seguridad a los que se enfrentan no solo los bancos, sino a cualquier organización: la gestión de las amenazas de seguridad que plantean los "usuarios internos". En muchos casos, los signos reveladores de amenazas internas son intentos de inicio de sesión fallidos y comportamientos atípicos o anómalos dentro de la red, como cuando un empleado intenta acceder a una aplicación o base de datos. Para detectar estos riesgos, Askari Bank utiliza la aplicación User Behavior Analytics (UBA). Al combinar reglas de comportamiento y análisis con datos de registro y actividad ya almacenados en QRadar, la aplicación UBA ha permitido al personal de SOC del banco agilizar el monitoreo, la detección y la investigación, mejorando así la eficiencia de la gestión de amenazas internas. Además, como UBA utiliza algoritmos analíticos para detectar desviaciones en las actividades de los usuarios, en lugar de reglas estrictas, se ha podido utilizar para reducir la frecuencia de los incidentes falsos positivos.
Si bien no hay un indicador único de cuán lejos ha llegado Askari Bank en la mejora de su postura de seguridad desde que trabajó con SPS para implementar su nueva solución QRadar, hay muchos puntos de prueba. Por ejemplo, un SOC que ni siquiera existía hace tres años ahora cuenta con un equipo de más de 20 especialistas. Y hay algo más que el banco tiene y que antes no tenía: visibilidad de las amenazas. En virtud de las capacidades de correlación de QRadar SIEM y su capacidad de proporcionar alertas de alta fidelidad, Askari Bank ahora puede obtener una ventana precisa sobre cuántas infracciones está experimentando 24x7.
Jawad Khalid Mirza señala que, además de esta gran mejora de la visibilidad de las amenazas, las respuestas automatizadas que permite QRadar SOAR hacen que el personal del SOC trabaje de forma más eficaz y proactiva para mantener a raya las ciberamenazas actuales y las que surjan en el futuro. "El hecho de que ahora podamos cumplir con las regulaciones de seguridad informática de Pakistán es fundamental, pero solo el principio", explica. "Con QRadar, ahora tenemos la eficiencia y flexibilidad para adaptarse a un panorama de amenazas cibernéticas que cambia constantemente, sin importar la rapidez con la que crezcamos".
Con sede en Rawalpindi, Pakistán, Askari Bank (enlace externo a ibm.com) es un banco comercial y minorista con 560 sucursales en todo Pakistán y una sucursal bancaria mayorista en Bahréin. Fundado en 1991, Askari Bank es una unidad del Grupo Fauji, con unos ingresos en 2021 de 4.200 millones de USD y unos 7.500 empleados.
Con sede en Rockville, MD, con oficinas en Islamabad (Pakistán), el socio comercial de IBM, SPS (enlace externo a ibm.com) crea soluciones sectoriales que aprovechan la IA y la nube. Como innovador y creador de soluciones de clase empresarial con experiencia en todas las fases de diseño de productos, desarrollo, implementación, seguridad, operaciones, monitorización y soporte, SPS ayuda a sus clientes a crear, implementar y proteger aplicaciones. Sus equipos de desarrollo, calidad, ciberseguridad, formación, operaciones, supervisión y soporte trabajan conjuntamente para crear sistemas de alto rendimiento, seguros, fiables, escalables y manejables.
Legal
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Producido en los Estados Unidos de América. Marzo2023.
IBM y el logotipo de IBM, IBM Security y QRadar son marcas comerciales o marcas registradas de International Business Machines Corporation en Estados Unidos o en otros países. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Encontrará una lista actualizada de las marcas comerciales de IBM en ibm.com/trademark.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en los Estados Unidos, en otros países o en ambos.
Este documento se actualizó por última vez en la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Todos los ejemplos de clientes citados o descritos se presentan como ilustración de la forma en que algunos clientes han utilizado los productos de IBM y los resultados que pueden haber obtenido. Los costes medioambientales y las características de rendimiento reales variarán en función de las configuraciones y condiciones de cada cliente. No es posible garantizar resultados esperados, puesto que los resultados de cada cliente van a depender por completo de los sistemas y servicios solicitados por los servicios solicitados por este. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.
Declaración de buenas prácticas de seguridad: Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido. IBM no garantiza que los sistemas, productos o servicios sean inmunes o vayan a hacer que su empresa sea inmune a la conducta maliciosa o ilegal de terceros.
El cliente es responsable de garantizar el cumplimiento de las leyes y regulaciones aplicables. IBM no presta asesoramiento legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o regulación.