In qualità di fornitore di servizi per le istituzioni finanziarie, Fiserv dà priorità alla sicurezza IT. Nell'ambito del suo impegno per la protezione dei dati dei clienti, Fiserv ha deciso di semplificare e automatizzare la gestione della sicurezza IT per il suo landscape IBM® AIX, adottando una nuova piattaforma di monitoraggio della conformità: IBM® PowerSC.
Gli amministratori di sistema Fiserv hanno trascorso ore a configurare i server per conformarsi ai benchmark di sicurezza PCI, SOX-Cobit e CIS; per recuperare i dati di conformità, dovevano accedere ai server singolarmente.
Fiserv sta adottando IBM PowerSC Standard Edition (PowerSC) in tutto il sistema IBM® Power Systems, semplificando la configurazione dei server e sbloccando le funzionalità di conformità e reporting in tempo reale.
La missione di Fiserv è aiutare i clienti a trasferire denaro e informazioni in modo da muovere il mondo. L'azienda è specializzata in tecnologia per i servizi finanziari e fornisce soluzioni per pagamenti, servizi di elaborazione, gestione di clienti e canali, rischio e conformità, insight e ottimizzazione.
La gestione delle transazioni finanziarie comporta necessariamente lo scambio, l'archiviazione e l'elaborazione di dati sensibili. Fiserv deve costantemente dimostrare a clienti e revisori che gestirà questi dati in modo responsabile e guadagnare la fiducia dei clienti è una delle sue massime priorità.
Di conseguenza, il team IT dell'azienda prende molto sul serio la sicurezza. I suoi sistemi IT sono sottoposti ogni anno a numerosi e complessi audit interni ed esterni e devono soddisfare numerosi standard di settore e normativi. Tuttavia, gli audit periodici non sono sufficienti a garantire una conformità continua: l'azienda deve anche monitorare i propri sistemi 24 ore su 24, 7 giorni su 7, per garantire che ciascun server mantenga sempre la configurazione corretta.
Come base per la configurazione dei propri sistemi, Fiserv utilizza un framework di sicurezza basato sulle best practice noto come benchmark Center for Internet Security (CIS). Ciascuno dei suoi server deve soddisfare sia le impostazioni obbligatorie che una soglia minima di punteggio complessivo con gli standard definiti nel benchmark.
Zach Floen, IBM Power Systems Engineer presso Fiserv, spiega: "Dal punto di vista della sicurezza, la configurazione ideale per un server consisterebbe nel bloccarlo completamente, in modo che non possa scambiare dati con altri sistemi. Ma se un server non riesce a comunicare, non può fare nulla di utile".
Fiserv monitorava già la configurazione di sicurezza dei suoi server, ma desiderava una gestione end-to-end più integrata della conformità nel suo intero ambiente server. Ad esempio, se i tecnici dell'azienda avevano la necessità di installare un nuovo server, dovevano dedicare quattro o cinque ore di lavoro manuale a una lista di controllo per "rafforzare" la configurazione in modo che superasse la soglia di conformità.
Allo stesso modo, il team aveva spesso bisogno di apportare modifiche temporanee alla configurazione dei server durante la manutenzione e gli aggiornamenti. Gli ingegneri dovevano implementare queste modifiche manualmente e quindi ripristinare le impostazioni originali dei server una volta completate le attività di manutenzione. Sebbene Fiserv adottasse strategie per mitigare i rischi derivanti dal mancato ripristino delle impostazioni corrette, l'azienda cercava un modo per eliminare la possibilità di errore umano controllando le modifiche alla configurazione in modo centralizzato e automatico.
Infine, il team desiderava semplificare i processi di reporting di conformità ed eliminare le attività che richiedevano molto tempo agli amministratori, come il recupero manuale dei report di conformità da un gran numero di server.
Una parte significativa dell'architettura server di Fiserv è costituita da server IBM Power Systems che eseguono il sistema operativo IBM AIX per supportare i principali sistemi finanziari e database. Nell'esaminare le opzioni disponibili per una nuova piattaforma di gestione della conformità, l'azienda ha scoperto l'esistenza di una soluzione su misura offerta da IBM: IBM PowerSC. "IBM PowerSC si sta rapidamente evolvendo in uno strumento molto potente ed efficace per la gestione della conformità", afferma Zach Floen. "Offre funzionalità che i nostri strumenti esistenti non hanno, ed è incluso nella nostra licenza AIX Enterprise esistente, quindi non dobbiamo preoccuparci di costi aggiuntivi". In quel momento, Fiserv si stava preparando a razionalizzare il suo panorama IBM AIX riunendo diversi gruppi di server in un unico ambiente di cloud privato. Questa iniziativa ha rappresentato un'opportunità perfetta per effettuare il passaggio dallo strumento di conformità esistente dell'azienda a PowerSC.
Mentre Fiserv implementa il software PowerSC nell'intero sistema AIX, il team è ansioso di sfruttare le funzionalità di automazione della conformità della soluzione.
Ad esempio, PowerSC monitora un elenco di programmi che possono essere eseguiti su ciascun server e avvisa gli amministratori se vengono eseguiti programmi non autorizzati. Durante le sessioni di manutenzione, questa funzione può essere disattivata per gruppi di server e impostata in modo che si riattivi automaticamente dopo un determinato periodo di tempo. Di conseguenza, gli ingegneri non devono più modificare manualmente le configurazioni durante la manutenzione, riducendo in modo significativo il rischio di lasciare accidentalmente un sistema esposto.
PowerSC fornisce inoltre profili di sicurezza predefiniti che supportano standard di settore e normativi come PCI-DSS, HIPAA e GDPR. Gli amministratori possono applicare un profilo a un server con un solo clic, anziché passare ore a elaborare una lista di controllo di sicurezza per ogni nuova macchina.
"Stiamo lavorando con IBM per creare un profilo di sicurezza che sia completamente conforme al benchmark CIS", afferma Zach Floen. "Una volta definito il profilo, saremo in grado di eliminare ore di configurazione manuale durante l'installazione delle macchine nella nostra nuova piattaforma AIX virtualizzata".
I profili aiutano anche a risolvere rapidamente i problemi di configurazione, come spiega Zach Floen: "Avevamo la possibilità di monitorare i nostri server e di identificare quando si verificava un problema con le impostazioni di un server, ma per risolvere questi problemi dovevamo comunque accedere alle singole macchine. Con PowerSC, basta fare clic su un pulsante nell'interfaccia di amministrazione per ripristinare immediatamente il profilo allo stato corretto".
Fiserv ha registrato un notevole risparmio di tempo nei processi di supervisione della conformità dei server e prevede di risparmiare ulteriore tempo in futuro. Attualmente, il recupero delle informazioni sulla conformità da ciascun server è un processo manuale che richiede molto tempo. Con PowerSC, il team può generare automaticamente un report in pochi secondi.
Zach Floen conclude: "Per Fiserv non si tratta solo di conformità, ma di guadagnarsi la fiducia dei clienti, e questo richiede un ambiente sicuro".
Fiserv è una delle aziende tecnologiche leader a livello mondiale nel settore dei servizi finanziari, con circa 24.000 dipendenti e un fatturato annuo di 5,7 miliardi di USD nel 2017. Le soluzioni dell'azienda forniscono strumenti a più di 12.000 clienti in oltre 80 paesi del mondo e aiutano milioni di consumatori e aziende a trasferire e gestire il denaro in modo rapido e conveniente.
Note a piè di pagina
© Copyright IBM Corporation 2018. 1 New Orchard Road, Armonk, New York 10504-1722 Stati Uniti. Prodotto negli Stati Uniti d'America, marzo 2019.
IBM, il logo IBM, ibm.com, AIX, Power e PowerSC sono marchi commerciali di International Business Machines Corp., registrati in diverse giurisdizioni del mondo. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web all'indirizzo ibm.com/legal/copytrade.shtml.
Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative.
Tutti gli esempi citati relativi a clienti sono presentati per illustrare il modo in cui alcuni clienti hanno utilizzato i prodotti IBM e i risultati da essi eventualmente conseguiti. I costi effettivi relativi agli ambienti e le caratteristiche inerenti alle performance possono variare a seconda delle specifiche configurazioni e condizioni del cliente. Contatta IBM per scoprire cosa può fare per te l'AI.
È responsabilità del cliente assicurare la conformità a normative e regolamenti applicabili. IBM non fornisce consulenza legale né dichiara o garantisce che i propri servizi o prodotti assicurino al cliente la conformità con qualsivoglia legge o regolamento.
Qualsivoglia dichiarazione relativa a direzione e intenzioni future di IBM è suscettibile di modifiche o smentite senza preavviso e rappresenta unicamente obiettivi e scopi.