Inicio

Casos de Estudio

Seguridad del Gran banco global

Gran banco global
Director general y jefe de Gestión de Vulnerabilidades: Cómo los hackers sacaron a nuestro equipo de seguridad de debajo de una montaña de vulnerabilidades
Una persona en un escritorio escribiendo en una computadora portátil mientras sostiene una tarjeta de crédito en la otra mano

Casi todos los bancos tienen problemas con la gestión de vulnerabilidades, incluido el mío. Estábamos enterrados en vulnerabilidades y nos enfrentábamos al reto de averiguar cuáles había que solucionar primero. Después de asociarnos con el equipo de hackers veteranos de IBM X-Force Red, logramos un nivel significativamente mejor de control sobre nuestra situación de gestión de vulnerabilidades y continuamos disfrutando de mejoras continuas tanto en las prácticas como en los resultados.

Desafío empresarial

Nuestro equipo estaba desbordado con un gran número de vulnerabilidades, incluida una acumulación de vulnerabilidades críticas que no se estaban reduciendo con la suficiente rapidez. Entre los problemas estaba nuestra incapacidad para convertir de manera efectiva los datos agregados de tendencias en información procesable para las personas responsables de la corrección.

Transformación

El equipo de X-Force Red se adentra en nuestro desorden de problemas. Cuatro meses después del inicio del programa, vimos una reducción del 60 por ciento en las vulnerabilidades críticas y una reducción de casi el 45 por ciento en las vulnerabilidades totales.

60 % de reducción de vulnerabilidades críticas en solo cuatro meses El 45 % de reducción de vulnerabilidades totales desde la implementación de la solución Escanea de forma precisa y automática millones de registros, cerrando la puerta a la exposición de datos
Historia de desafío empresarial
Demasiadas vulnerabilidades imprecisas

Las empresas de servicios financieros son víctimas de ataques de ciberseguridad con 300 veces más frecuencia que las empresas de otros sectores, por lo que nuestra empresa ha invertido y priorizado nuestro programa de gestión de vulnerabilidades.

Teníamos una acumulación de vulnerabilidades altas y críticas. El gran volumen hizo que la presentación de informes, la priorización y el seguimiento de los problemas fueran realmente difíciles. Simplemente carecíamos de una solución a escala empresarial para la gestión de vulnerabilidades.

Teníamos una solución ineficaz de hojas de cálculo complejas que extraían un gran número de vulnerabilidades de múltiples sistemas y escáneres, lo que en última instancia dejaba tanto al equipo de gestión de vulnerabilidades como a otros equipos responsables de la aplicación de parches incapaces de deconstruir los complicados informes y profundizar en los datos. Los informes mostraban un número total de vulnerabilidades y un indicador clave de riesgo basado en fórmulas, pero necesitábamos insights sobre cómo se calculaba esa métrica y qué vulnerabilidades afectaban a sistemas específicos.

Nos sentíamos paralizados. El resultado de nuestros escáneres de vulnerabilidades nos permitió ver cuántas vulnerabilidades teníamos, pero no pudimos correlacionar de manera confiable los datos con sistemas y propietarios específicos. Sin informes efectivos, los administradores de sistemas no sabían por dónde empezar con la aplicación de parches y el equipo de vulnerabilidades no podía proporcionar una dirección útil.

El estrés se apoderó de nuestro equipo. Los datos eran tan opacos que parecía que estábamos perdiendo el control. Todos los meses informábamos a la dirección con la esperanza de que las cifras de vulnerabilidad tendieran a la baja, pero sabíamos que no controlábamos el resultado. Nos sentimos impotentes.

Además, nuestro proveedor de entonces no se hizo cargo de las crecientes preocupaciones ni abordó los problemas de su modelo de información que nos impedían avanzar. Necesitábamos revisar nuestro programa de gestión de vulnerabilidades y cambiar de proveedor.

El equipo se sentía desesperanzado porque no podíamos ver el camino a seguir con estos informes inútiles. Fue abrumador y un poco aterrador. Con el modelo anterior, generábamos informes mensuales, pero en realidad no controlábamos el resultado. X-Force Red nos ayudó a tomar el control e impulsar los resultados. Director general Jefe de Gestión de Vulnerabilidades Gran banco global
Historia de transformación
Armar a nuestro banco con un programa impulsado por hackers

Buscamos un servicio con la experiencia, las herramientas y la inteligencia que nos ayudaran a corregir la acumulación de vulnerabilidades, particularmente las críticas. La selección de X-Force Red Vulnerability Management Services en noviembre de 2018 resultó rápidamente beneficiosa. El equipo de hackers veteranos de X-Force Red analizó inmediatamente las diferentes áreas tecnológicas y las diferentes líneas de negocio de nuestra empresa. Revisaron el modelo de datos, solucionaron importantes problemas de calidad de los datos e introdujeron la automatización que continúan mejorando en la actualidad.

Mientras que antes revisábamos manualmente cada vulnerabilidad y tratábamos de descifrar cuáles de entre millones eran potencialmente las más dañinas, la fórmula de clasificación automatizada de X-Force Red nos ayudó a priorizar las vulnerabilidades más críticas de forma más eficiente y eficaz.

El equipo de X-Force Red hizo que la fórmula fuera transparente, para que supiéramos exactamente cómo funcionaba el algoritmo. Con su mentalidad de hacker, X-Force Red priorizó las vulnerabilidades en función de si los delincuentes las estaban convirtiendo en armas y del valor del activo expuesto. La priorización automatizada sólo nos llevó unos minutos, frente a los días que tardábamos con nuestros métodos manuales anteriores. Esta rápida respuesta nos ayudó a corregir inmediatamente las vulnerabilidades para evitar ataques y permitió a los miembros de mi equipo centrarse en otras tareas.

Antes había mucho estancamiento y ruido al tener una gran cantidad de datos incorrectos, era abrumador. Una vez borrados y filtrados, hicimos un gran progreso. Director general Jefe de Gestión de Vulnerabilidades Gran banco global
Historia de resultados
Erradicación rápida de vulnerabilidades

Con la ayuda de X-Force Red, mi equipo pudo atribuir vulnerabilidades a los propietarios de corrección adecuados, pero también medir más fácilmente el desempeño de esos propietarios a lo largo del tiempo. Nuestra nueva capacidad para apoyar a los propietarios de sistemas y exigirles responsabilidades ha impulsado grandes avances. Los servicios de gestión de vulnerabilidades de X-Force Red permiten realizar ajustes rápidos en nuestro proceso de elaboración de informes. Ahora entendemos datos que antes no podíamos descifrar durante años y podemos pedir ver esos datos en un formato específico o como una porción, todo gracias a los servicios de gestión de vulnerabilidades de X-Force Red.

Los números no mienten. Solo cuatro meses después de nuestra asociación con X-Force Red, vimos una reducción del 60 por ciento en las vulnerabilidades más críticas y una reducción del 44 por ciento en las vulnerabilidades totales.

Ahora estamos implementando el componente de facilitación de corrección de los servicios de gestión de vulnerabilidades de X-Force Red para enviar nuestros problemas más importantes, en lotes manejables, a los equipos de administración de sistemas responsables de solucionarlos.

Además de los aspectos de informes y seguimiento de la práctica de gestión de vulnerabilidades, el equipo de X-Force Red también asumió la responsabilidad de impulsar mejoras en nuestra infraestructura de escaneo. Podemos escanear el entorno casi el doble de rápido gracias a las reconfiguraciones para eliminar escaneos redundantes y solucionar problemas de configuración del escáner.

Nuestro equipo es optimista sobre nuestra asociación continua con X-Force Red y el impacto significativo que sus servicios de gestión de vulnerabilidades tienen en nuestra seguridad futura. Estoy extraordinariamente feliz, no es frecuente que un compañero supere las expectativas, pero en este caso, X-Force Red lo ha hecho.

Con la información de los servicios de gestión de vulnerabilidades de X-Force Red y la capacidad de centrarnos en las áreas problemáticas, podemos vincular claramente a los propietarios con las vulnerabilidades, y el equipo se siente empoderado y finalmente en control. Director general Jefe de Gestión de Vulnerabilidades Gran banco global
X-Force Red

Para aprender más sobre los servicios de gestión de vulnerabilidades de X-Force Red, póngase en contacto con su representante o asociado de negocios de IBM.

Leer el PDF Lea el blog (enlace externo a ibm.com)
Dé el siguiente paso

Para obtener más información sobre las soluciones de IBM presentadas en esta historia, póngase en contacto con su representante o asociado de negocios de IBM.

Ver más casos de estudio Contactar con IBM
Legal

© Copyright IBM Corporation 2019. IBM Corporation, IBM security, New orchard road, Armonk, NY 10504

Producido en los Estados Unidos de América, septiembre de 2019.

IBM, el logotipo de IBM, ibm.com y X-Force son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones de todo el mundo. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Puede consultar una lista actual de marcas registradas de IBM en la web, en “Información sobre derechos de autor y marcas registradas” en https://ibm.com/legal/copyright-trademark.

Este documento está vigente a partir de la fecha inicial de publicación, pero IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.

Los datos de rendimiento y los ejemplos de clientes citados se presentan solo con fines ilustrativos. Los resultados de rendimiento reales pueden variar según las configuraciones específicas y las condiciones de funcionamiento. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”, SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.

Declaración de buenas prácticas de seguridad. La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. El acceso inadecuado puede resultar en la alteración, destrucción, apropiación indebida o mal uso de la información o puede resultar en daños o mal uso de sus sistemas, incluso para su uso en ataques a otros. Ningún sistema o producto de TI debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido. Los sistemas, productos y servicios de IBM están diseñados para ser parte de un enfoque de seguridad legal e integral, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más efectivos. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS, NI QUE VAYAN A HACER QUE SU EMPRESA SEA INMUNE A DICHA CONDUCTA.