Como proveedor de servicios para instituciones financieras, Fiserv prioriza la seguridad de TI. Como parte de su compromiso con la protección de los datos de los clientes, Fiserv decidió simplificar y automatizar la gestión de la seguridad de TI para su entorno IBM® AIX, adoptando una nueva plataforma de monitoreo de cumplimiento: IBM® PowerSC.
Los administradores del sistema Fiserv pasaron horas configurando servidores para cumplir con las referencias de seguridad de PCI, SOX-Cobit y CIS; para recuperar los datos de cumplimiento, tenían que iniciar sesión en los servidores individualmente.
Fiserv está adoptando IBM® PowerSC Standard Edition (PowerSC) en toda su cartera IBM® Power Systems, optimizando la configuración del servidor y desbloqueando capacidades de cumplimiento e informes en tiempo real.
La misión de Fiserv es ayudar a los clientes a hacer circular dinero e información de una manera que mueva el mundo. La empresa se especializa en tecnología de servicios financieros, proporcionando soluciones para pagos, servicios de procesamiento, gestión de clientes y canales, riesgo y cumplimiento, e insights y optimización.
La gestión de transacciones financieras implica necesariamente intercambiar, almacenar y procesar datos confidenciales. Fiserv debe demostrar constantemente a los clientes y auditores que gestionará estos datos de forma responsable, y ganarse la confianza de los clientes es una de sus principales prioridades.
Como resultado, el equipo de TI de la empresa se toma muy en serio la seguridad. Sus sistemas de TI están sujetos a múltiples auditorías internas y externas complejas cada año, y se espera que cumplan con numerosos estándares industriales y regulatorios. Sin embargo, las auditorías regulares no son suficientes para garantizar el cumplimiento continuo: la empresa también debe supervisar sus sistemas las 24 horas del día, los 7 días de la semana para garantizar que cada servidor mantenga la configuración correcta en todo momento.
Como punto de referencia para configurar sus sistemas, Fiserv utiliza un marco de seguridad de mejores prácticas conocido como punto de referencia de Center for Internet Security (CIS). Se espera que cada uno de sus servidores cumpla tanto con la configuración obligatoria como con un umbral de puntuación general mínimo con los estándares definidos en el punto de referencia.
Zach Floen, ingeniero de sistemas de alimentación IBM en Fiserv, explica: “Desde una perspectiva de seguridad, la configuración ideal para un servidor sería bloquearlo completamente, para que no pueda intercambiar ningún dato con ningún otro sistema. Pero si un servidor no puede comunicarse, no puede hacer nada útil”.
Aunque Fiserv ya monitoreaba la configuración de seguridad de sus servidores, buscaba una gestión integral más integrada del cumplimiento de la normativa en toda su cartera de servidores. Por ejemplo, si los ingenieros de la empresa necesitaban instalar un nuevo servidor, tenían que pasar cuatro o cinco horas trabajando manualmente en una lista de verificación para "endurecer" la configuración y pasara el umbral de cumplimiento.
De manera similar, el equipo a menudo necesitaba realizar cambios temporales en la configuración del servidor mientras realizaba el mantenimiento y las actualizaciones. Los ingenieros tuvieron que implementar estos cambios manualmente y luego restaurar los servidores a su configuración original una vez que se completaron las tareas de mantenimiento. Aunque Fiserv contaba con estrategias para mitigar los riesgos de olvidar restaurar la configuración correctamente, la empresa quería encontrar una manera de eliminar la posibilidad de error humano controlando los cambios de configuración de forma centralizada y automática.
Por último, el equipo quería agilizar sus procesos de elaboración de informes de cumplimiento y eliminar las largas tareas que tenían que realizar los administradores, como tener que recuperar manualmente los informes de cumplimiento de un gran número de servidores.
Una proporción significativa de la arquitectura de servidores de Fiserv consiste en servidores IBM® Power Systems que ejecutan el sistema operativo IBM® AIX para admitir bases de datos y sistemas financieros centrales. Cuando la empresa comenzó a revisar sus opciones para una nueva plataforma de administración de cumplimiento de normas, descubrió que IBM ofrece una solución a medida: IBM PowerSC. “IBM PowerSC está evolucionando rápidamente hasta convertirse en una herramienta muy potente y capaz para la gestión del cumplimiento”, afirma Zach Floen. “Ofrece capacidades que nuestras herramientas existentes no tienen y está incluido como parte de nuestra licencia AIX Enterprise existente, por lo que no tenemos que preocuparnos por costos adicionales”. En ese momento, Fiserv se estaba preparando para racionalizar su escenario IBM AIX al reunir grupos dispares de servidores en un único entorno de nube privada. Esta iniciativa presentó una oportunidad perfecta para hacer el cambio de la herramienta de cumplimiento de normas existente de la empresa a PowerSC.
A medida que Fiserv implementa el software PowerSC en su cartera AIX, el equipo está entusiasta por usar las características de automatización de cumplimiento de la solución.
Por ejemplo, PowerSC monitorea una lista de programas que pueden ejecutarse en cada servidor y notifica a los administradores si se ejecutan programas no autorizados. Durante las sesiones de mantenimiento, esta característica puede desactivarse para grupos de servidores y volver a activarse automáticamente al cabo de cierto tiempo. Como resultado, los ingenieros ya no necesitan cambiar las configuraciones manualmente durante el mantenimiento, lo que reduce de manera significativa el riesgo de dejar un sistema expuesto accidentalmente.
PowerSC también proporciona perfiles de seguridad predefinidos que respaldan los estándares regulatorios y de la industria, como PCI-DSS, HIPAA y RGPD. Los administradores pueden aplicar un perfil a un servidor con un solo clic, en lugar de pasar horas trabajando en una lista de verificación de seguridad para cada nueva máquina.
“Estamos trabajando con IBM para crear un perfil de seguridad que cumpla plenamente con el punto de referencia CIS listo para usarse”, dice Zach Floen. “Una vez que tengamos el perfil en su lugar, podremos eliminar las horas de configuración manual cuando ajustamos máquinas en nuestra plataforma AIX virtualizada más reciente”.
Los perfiles también ayudan a solucionar los problemas de configuración rápidamente, como Zach Floen explica: “Tuvimos la capacidad de monitorear nuestros servidores e identificar cuándo hubo un problema con la configuración de un servidor, pero, para solucionar esos problemas, todavía teníamos que iniciar sesión en las máquinas individuales. Con PowerSC, podemos hacer clic en un botón en la interfaz de administrador y restablecerá inmediatamente el perfil al estado correcto”.
Fiserv ha experimentado importantes ahorros de tiempo en sus procesos de supervisión del cumplimiento del servidor y espera ver ahorros aún mayores en el futuro. Actualmente, recuperar información de cumplimiento de cada servidor es un proceso manual y que requiere mucho tiempo. Con PowerSC, el equipo puede generar un informe automáticamente en unos segundos.
Zach Floen concluye: “Para Fiserv, se trata de algo más que de cumplir las normas: se trata de ganarnos la confianza de nuestros clientes, y eso requiere un entorno seguro”.
Fiserv es una de las principales empresas de tecnología de servicios financieros del mundo, con alrededor de 24 000 empleados e ingresos anuales de 5.7 mil millones de dólares en 2017. Las soluciones de la empresa empoderan a más de 12 000 clientes en más de 80 países en todo el mundo, y ayudan a millones de consumidores y empresas a mover y administrar dinero de manera rápida y conveniente.
Notas de pie de página
© Copyright IBM Corporation 2018. 1 New Orchard Road, Armonk, Nueva York 10504-1722 Estados Unidos. Producido en los Estados Unidos de América, marzo de 2019
IBM, el logotipo de IBM, ibm.com, AIX, Power y PowerSC son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Una lista actualizada de las marcas comerciales de IBM está disponible en la web en “Información sobre derechos de autor y marcas comerciales” en ibm.com/legal/copytrade.shtml.
No todas las ofertas están disponibles en todos los países en los que opera IBM.
Los datos de rendimiento y los ejemplos de clientes citados se presentan solo con fines ilustrativos. Los resultados de rendimiento reales pueden variar según las configuraciones específicas y las condiciones de funcionamiento.
Todos los ejemplos de clientes citados o descritos se presentan como ilustraciones de la forma en que algunos han utilizado los productos de IBM y los resultados que pueden haber logrado. Los costos ambientales reales y las características de rendimiento variarán según las configuraciones y condiciones individuales del cliente. Póngase en contacto con IBM para ver qué podemos hacer por usted.
El cliente es responsable de garantizar el cumplimiento de las leyes y regulaciones que le sean aplicables. IBM no brinda asesoría legal ni declara que sus servicios o productos garantizarán que el cliente cumpla con cualquier ley o regulación.
Las declaraciones sobre la dirección e intención futuras de IBM están sujetas a cambios o retiros sin previo aviso, y representan solo metas y objetivos.