Como proveedor de servicios para instituciones financieras, Fiserv prioriza la seguridad de TI. Como parte de su compromiso con la protección de los datos de los clientes, Fiserv decidió simplificar y automatizar la gestión de la seguridad de TI para su entorno IBM AIX, adoptando una nueva plataforma de monitoreo de cumplimiento: IBM PowerSC.
Los administradores del sistema Fiserv dedicaron horas a configurar los servidores para cumplir con los puntos de referencia de seguridad de PCI, SOX-Cobit y CIS; para recuperar los datos de cumplimiento, tuvieron que iniciar sesión en los servidores de forma individual.
Fiserv está adoptando IBM PowerSC Standard Edition (PowerSC) en todo su parque de IBM Power Systems, agilizando la configuración de los servidores y desbloqueando funciones de cumplimiento de normativas y generación de informes en tiempo real.
La misión de Fiserv es ayudar a los clientes a mover dinero e información de una manera que mueva el mundo. La empresa se especializa en tecnología de servicios financieros, proporcionando soluciones para pagos, servicios de procesamiento, gestión de clientes y canales, riesgo y cumplimiento, e información y optimización.
La gestión de transacciones financieras implica necesariamente el intercambio, el almacenamiento y el procesamiento de datos confidenciales. Fiserv debe demostrar constantemente a los clientes y auditores que gestionará estos datos de forma responsable, y ganarse la confianza de los clientes es una de sus principales prioridades.
Como resultado, el equipo de TI de la empresa se toma muy en serio la seguridad. Sus sistemas de TI están sujetos a múltiples auditorías internas y externas complejas cada año, y se espera que cumplan numerosos estándares regulatorios y de la industria. Sin embargo, las auditorías regulares no son suficientes para garantizar el cumplimiento continuo: la empresa también debe supervisar sus sistemas 24/7 para garantizar que cada servidor mantenga la configuración correcta en todo momento.
Como referencia para configurar sus sistemas, Fiserv utiliza un marco de seguridad de mejores prácticas conocido como punto de referencia de Center for Internet Security (CIS). Se espera que cada uno de sus servidores cumpla tanto los parámetros obligatorios como un umbral mínimo de puntuación global con los estándares definidos en la evaluación comparativa.
Zach Floen, ingeniero de sistemas eléctricos de IBM en Fiserv, explica: "Desde una perspectiva de seguridad, la configuración ideal para un servidor sería bloquearlo completamente, para que no pueda intercambiar datos con ningún otro sistema. Pero si un servidor no puede comunicarse, no puede hacer nada útil".
Aunque Fiserv ya monitorizaba la configuración de seguridad de sus servidores, buscaba una gestión integral más integrada del cumplimiento de la normativa en todo su parque de servidores. Por ejemplo, si los ingenieros de la empresa necesitaban instalar un nuevo servidor, tenían que pasar cuatro o cinco horas trabajando manualmente a través de una lista de verificación para "reforzar" la configuración para pasar el umbral de cumplimiento.
Del mismo modo, el equipo a menudo necesitaba realizar cambios temporales en la configuración del servidor mientras llevaba a cabo mantenimiento y actualizaciones. Los ingenieros tuvieron que implementar estos cambios manualmente y luego restaurar los servidores a su configuración original una vez completadas las tareas de mantenimiento. Aunque Fiserv contaba con estrategias para mitigar los riesgos de olvidarse de restaurar la configuración correctamente, la empresa quería encontrar una manera de eliminar la posibilidad de error humano controlando los cambios de configuración de forma centralizada y automática.
Por último, el equipo quería agilizar sus procesos de elaboración de informes de cumplimiento y eliminar las largas tareas que tenían que realizar los administradores, como tener que recuperar manualmente los informes de cumplimiento de un gran número de servidores.
Una proporción significativa de la arquitectura de servidores de Fiserv consiste en servidores IBM Power Systems que ejecutan el sistema operativo IBM AIX para dar soporte a los principales sistemas financieros y bases de datos. Cuando la empresa comenzó a revisar sus opciones para una nueva plataforma de gestión del cumplimiento, descubrió que IBM ofrece una solución personalizada: IBM PowerSC. "IBM PowerSC está evolucionando rápidamente hacia una herramienta muy potente y capaz de gestionar el cumplimiento normativo", afirma Zach Floen. "Ofrece capacidades que nuestras herramientas existentes no tienen, y se incluye como parte de nuestra licencia AIX Enterprise existente, por lo que no tenemos que preocuparnos por los costes adicionales". En ese momento, Fiserv se estaba preparando para racionalizar su entorno IBM AIX reuniendo grupos dispares de servidores en un único entorno de nube privada. Esta iniciativa presentó una oportunidad perfecta para cambiar de la herramienta de cumplimiento existente de la empresa a PowerSC.
A medida que Fiserv implementa el software PowerSC en toda su finca AIX, el equipo está ansioso por aprovechar las funciones de automatización de cumplimiento de la solución.
Por ejemplo, PowerSC monitoriza una lista de programas que pueden ejecutarse en cada servidor y notifica a los administradores si se ejecuta algún programa no autorizado. Durante las sesiones de mantenimiento, esta función puede desactivarse para grupos de servidores y volver a activarse automáticamente al cabo de cierto tiempo. Como resultado, los ingenieros ya no necesitan cambiar las configuraciones manualmente durante el mantenimiento, lo que reduce significativamente el riesgo de dejar accidentalmente un sistema expuesto.
PowerSC también proporciona perfiles de seguridad prediseñados que admiten estándares normativos y industriales como PCI-DSS, HIPAA y RGPD. Los administradores pueden aplicar un perfil a un servidor con un solo clic, en lugar de pasar horas trabajando en una lista de verificación de seguridad para cada nueva máquina.
"Estamos trabajando con IBM para crear un perfil de seguridad que cumpla completamente con el índice de referencia de CIS listo para usar", dice Zach Floen. "Una vez que tengamos el perfil, podremos eliminar horas de configuración manual al configurar máquinas en nuestra plataforma AIX virtualizada más reciente".
Los perfiles también ayudan a solucionar los problemas de configuración rápidamente, como explica Zach Floen: "Fuimos capaces de monitorizar nuestros servidores e identificar cuándo hubo un problema con la configuración de un servidor, pero para solucionar esos problemas, tuvimos que iniciar sesión en las máquinas individuales. Con PowerSC, solo podemos hacer clic en un botón en la interfaz de administración y restablecerá inmediatamente el perfil al estado correcto".
Fiserv ha experimentado un ahorro de tiempo significativo en sus procesos de supervisión del cumplimiento de los servidores y espera obtener ahorros aún mayores en el futuro. Actualmente, recuperar la información de cumplimiento de cada servidor es un proceso manual y que requiere mucho tiempo. Con PowerSC, el equipo puede simplemente generar un informe automáticamente en unos segundos.
Zach Floen concluye: "Para Fiserv, se trata de algo más que de cumplir, se trata de ganarse la confianza de nuestros clientes, y eso requiere un entorno seguro".
Fiserv es una de las principales empresas de tecnología de servicios financieros del mundo, con alrededor de 24 000 empleados y ingresos anuales de 5,7 millones de dólares en 2017. Las soluciones de la empresa permiten trabajar a más de 12 000 clientes en más de 80 países de todo el mundo y ayudan a millones de consumidores y empresas a mover y gestionar su dinero de forma rápida y cómoda.
Notas a pie de página
© Copyright IBM Corporation 2018. 1 New Orchard Road, Armonk, New York 10504-1722 United States. Producido en los Estados Unidos de América, marzo de 2019
IBM, el logotipo de IBM, ibm.com, AIX, Power y PowerSC son marcas comerciales de International Business Machines Corp. registradas en muchas jurisdicciones de todo el mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM u otras empresas. Una lista actual de marcas comerciales de IBM está disponible en la web en "Información sobre derechos de autor y marcas comerciales" en ibm.com/legal/copytrade.shtml.
No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos. Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas.
Todos los ejemplos de clientes citados o descritos se presentan como ilustración de la forma en que algunos clientes han utilizado los productos de IBM y los resultados que pueden haber obtenido. Los costes medioambientales y las características de rendimiento reales variarán en función de las configuraciones y condiciones de cada cliente. Póngase en contacto con IBM para ver qué podemos hacer por usted.
El cliente es responsable de garantizar el cumplimiento de las leyes y reglamentos aplicables. IBM no presta asesoramiento legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o normativa.
Todas las declaraciones sobre la dirección y las intenciones futuras de IBM están sujetas a cambios o retirada sin previo aviso y solo constituyen objetivos y metas.