KBC Group
Cómo crear un grupo multinacional de banca y seguros ciberresiliente
Dos personas hablan de la ciberresiliencia de un grupo multinacional de banca y seguros

Cuando KBC implementó la plataforma IBM® Security SOAR, antes Resilient, se dotó de un eje central para la respuesta a incidentes de ciberseguridad. Ahora, la compañía puede visualizar las amenazas en sus entidades y poner en marcha respuestas a nivel local y de grupo, exigidas por numerosas normativas.

Reto empresarial

Como entidad multinacional de banca y seguros, el Grupo KBC necesitaba supervisar y coordinar su respuesta de ciberseguridad además de cumplir los estrictos requisitos normativos de información ante incidentes cibernéticos.

Transformación

KBC eligió la plataforma Resilient SOAR para obtener una visión exhaustiva de las amenazas a la ciberseguridad en todas sus entidades europeas y orquestar una respuesta oportuna a las mismas.

Resultados Proporciona una visión única
de los incidentes cibernéticos en múltiples entidades de diferentes países
Ofrece flexibilidad para añadir acciones localizadas,
manteniendo al mismo tiempo un marco general estandarizado para la respuesta a incidentes
Gestiona el cumplimiento de los requisitos legales de notificación
de numerosas normativas de ámbito europeo
Historia de un desafío empresarial
El reto de la ciberseguridad multinivel

KBC opera en toda Europa a través de bancos y compañías de seguros de plena propiedad en sus mercados principales de Bélgica, República Checa, Eslovaquia, Hungría, Bulgaria e Irlanda, contando todos con un alto nivel de autonomía local. Aunque la regulación de los servicios financieros depende en gran medida de cada país, estas entidades del KBC también están sujetas a la supervisión de la Unión Europea (UE) y del Banco Central Europeo (BCE). Diversas normas nuevas o actualizadas, como el Reglamento General de Protección de Datos (RGPD) y la Directiva de Servicios de Pago 2 (DSP2), además de las expectativas de supervisión de la ciberresiliencia del BCE, han impuesto requisitos más estrictos al grupo y a sus filiales en cuanto a la notificación y respuesta a incidentes cibernéticos y vulneraciones de datos.

En 2016, KBC formó su Equipo de Respuesta y Experiencia Cibernética (CERT) en su sede de Bruselas, Bélgica. Al equipo se le encomendó la tarea de orquestar la respuesta a las ciberamenazas en las múltiples entidades del grupo en toda Europa. El CERT necesitaba supervisar de forma centralizada su proceso de respuesta a incidentes, pero no quería crear un departamento grande y centralizado para ello. Las distintas entidades europeas e internacionales del grupo contaban con equipos de seguridad y respuesta a incidentes bien establecidos y en gran medida autónomos. En lugar de duplicar esfuerzos, el CERT de KBC serviría para complementarlos y, en última instancia, para mejorar el esfuerzo global de ciberseguridad del grupo mediante una mayor concienciación y coordinación de la respuesta a nivel de grupo.

KBC buscaba un mecanismo mediante el cual el CERT pudiera registrar y visualizar las amenazas en las distintas entidades del grupo y poner en marcha los informes y respuestas locales y de grupo exigidos por las distintas normativas.

Kris Caron, Jefe de Gestión de Crisis e Incidentes del CERT, describe la relación del equipo con las oficinas de seguridad de cada país: "Si un incidente afecta a más de un país o si la dirección local o de la sede nos pide que tomemos el control, nos hacemos cargo, pero por lo demás actuamos en modo de apoyo. Así que necesitábamos tener una visión de conjunto, un único panel de control para todos los incidentes".

KBC buscó una solución tecnológica que le ayudara a implantar guías de estrategias de respuesta a incidentes para distintos tipos de incidentes, a fin de permitir una ejecución coherente en todo el grupo. Estas guías de estrategias proporcionan un proceso paso a paso, algunas de cuyas partes pueden automatizarse, para responder a incidentes concretos. Por ejemplo, cuando se detecta malware en los ordenadores de un banco, la guía de estrategias describe los pasos a seguir para el escalado, la contención y la corrección.

"Necesitábamos algo que permitiera al CERT coordinar la respuesta y que se integrara con las herramientas técnicas existentes y automatizara algunas respuestas", dice Caron. "Además de eso, necesitábamos rapidez. Tenemos muchas normativas diferentes sobre notificaciones, y una de ellas es la exigencia del BCE de notificar los ciberincidentes en un plazo de dos horas".

La plataforma Resilient activa automáticamente las tareas de gestión de crisis y las notificaciones allí donde son relevantes dentro del grupo bancario. Kris Caron Director de gestión de crisis e incidentes, CERT KBC Group
Historia de transformación
Orquestación y visualización de la ciberseguridad

KBC llevó a cabo un proceso de solicitud de propuestas (RFP), que incluyó demostraciones de una serie de plataformas de informes de seguridad, y seleccionó la plataforma IBM® Security SOAR, anteriormente Resilient. La solución IBM® Security SOAR ofrece una potente base para la planificación de la respuesta, la gestión y la mitigación para una amplia gama de tipos de incidentes en múltiples niveles de la organización KBC.

"Una de las principales razones por las que elegimos Resilient fue que la gente con la que hablamos entendía realmente el tema de la ciberseguridad y estaba dispuesta a trabajar con nosotros para adaptarlo a nuestras necesidades específicas", dice Caron. "Un factor clave fue cuando fuimos a Boston y conocimos a la gente de allí, para darnos la mano y conocer la organización. Este contacto personal fue la piedra angular de la asociación que tenemos actualmente para seguir desarrollando la huella de resiliencia."

El equipo de IBM® Security SOAR contribuyó a la integración de la plataforma con la infraestructura de TI y seguridad existente del cliente. KBC utilizó las guías de estrategias estándar precargadas para tipos de incidentes comunes, como malware, denegación de servicio y phishing, para transformar sus guías de estrategias de KBC en la plataforma IBM® Security SOAR. Los consultores de IBM Security trabajaron con KBC para añadir a sus guías de estrategias activadores de informes legales específicos. Estos incluían requisitos para GDPR, BCE, PSD2 y la Directiva de Seguridad de las Redes y de la Información (NIS) de la UE sobre infraestructuras críticas. Además, el equipo implementó más guías de estrategias sobre amenazas a la ciberseguridad, incluido el Fraude al CEO y otras específicas para KBC.

El trabajo con IBM® Security SOAR comenzó en octubre de 2017 y la primera puesta en marcha tuvo lugar en febrero de 2018 con el CERT y la organización de Bruselas. De febrero a mayo de 2018, IBM® Security SOAR y el CERT trabajaron con otras entidades para formar al personal e integrar las guías de estrategias de IBM Security SOAR en la infraestructura de seguridad. Durante ese tiempo, KBC añadió cualquier contenido local solicitado por las organizaciones a nivel de país.

Caron describe cómo KBC puede utilizar la flexibilidad de la plataforma SOAR para ampliar las guías de estrategias del grupo con contenido local: "Aunque hemos concedido cierta autonomía a las entidades locales, queríamos una taxonomía común y un conjunto básico de tareas en estas guías de estrategias. Pueden disponer de sus propias tareas para los procesos o normativas locales, pero necesitábamos ceñirnos a un marco común para poder cooperar con varios equipos ante un mismo incidente. Por lo tanto, también cambiamos al inglés como idioma común para los registros".

Necesitábamos velocidad. Tenemos muchas normas relativas a las notificaciones, y una de ellas es la exigencia del BCE de notificar los incidentes cibernéticos en un plazo de dos horas. Kris Caron Director de gestión de crisis e incidentes, CERT KBC Group
Historia de resultados
Vista centralizada, respuesta local y virtual

La plataforma IBM® Security SOAR proporciona ahora al CERT de KBC una vista única de los incidentes cibernéticos en múltiples entidades de distintos países. "Creo que lo que más nos beneficia es tender puentes entre todos los silos", dice Caron. "Con una visión unificada, tenemos mejor conocimiento de lo que ocurre en los demás países y podemos coordinar nuestra respuesta con esos equipos".

Diseñada para ser flexible y extensible, la plataforma permite a KBC añadir respuestas localizadas a las guías de estrategias, manteniendo al mismo tiempo un marco general estandarizado para la respuesta a incidentes. Permite que las alertas de seguridad actúen al instante, proporciona inteligencia y contexto sobre incidentes valiosos de gran valor y posibilita una respuesta adaptable a las ciberamenazas complejas.

Caron afirma: "La plataforma Resilient introdujo el principio de 'romper el cristal' para activar alarmas. Desencadena automáticamente las tareas de gestión de crisis y las notificaciones allí donde sean relevantes dentro del grupo bancario".

Ahora, KBC puede gestionar mejor el cumplimiento de los requisitos de notificación legal establecidos por el GDPR, el BCE, el PSD2 y el NIS. La plataforma IBM® Security SOAR ayuda a reducir el tiempo de respuesta a los incidentes al eliminar gran parte de la carga analítica de los analistas cibernéticos de KBC. La automatización de muchos procesos ayuda a los equipos cibernéticos a priorizar y responder rápidamente a los incidentes más críticos, tal y como exige la nueva legislación.

Para probar el sistema, el CERT introdujo un simulacro de ciberamenaza durante un ejercicio de crisis financiera de todo el grupo, dirigido por el comité ejecutivo del banco. El CERT introdujo el caso en la solución IBM® Security SOAR y solicitó una respuesta. "Se trataba de algo fuera de lo común, algo nuevo y relacionado con la cibernética, y obtuvimos una respuesta buena y rápida con mucho menos esfuerzo que en el pasado", dice Caron. "Pudimos concentrarnos en la atenuación de la crisis, pudiendo solicitar rápidamente acciones intermedias adicionales al grupo, en lugar de perder tiempo llamando a nuestros equipos internacionales".

KBC registra todos los incidentes de ciberseguridad en la plataforma IBM® Security SOAR, desde pequeños sucesos localizados hasta incidentes mayores que afectan a todo el grupo. El grupo ha añadido otros 60 usuarios a la plataforma y continúa ampliando su uso para ayudar a gestionar incidentes relacionados con fraudes, fraude electrónico, problemas de gestión de vulnerabilidades y otros. “Queremos que nuestras oficinas especializadas en gestión de crisis e incidentes ofrezcan el servicio a otros equipos, ahora que contamos con la plataforma Resilient SOAR", explica Caron. "Estamos conectados desde Nueva York a Hong Kong y por toda Europa, y la continuidad del negocio y la gestión de crisis son los próximos dominios a abordar".

Logotipo de KBC
KBC Group

KBC (enlace reside fuera de ibm.com), con sede en Bruselas, Bélgica, se formó en 1998 a partir de la fusión de dos bancos y una compañía de seguros belgas. El grupo de seguros bancario atiende a 11 millones de clientes en toda Europa en sus mercados centrales de Bélgica, la República Checa, Eslovaquia, Hungría, Bulgaria e Irlanda. También tiene una presencia limitada en EEUU y Asia, principalmente para atender a clientes de sus mercados principales. Los 42.000 empleados de KBC se esfuerzan por ofrecer a los clientes del grupo una experiencia bancaria y aseguradora única y personalizada a través de más de 1.400 sucursales y diversos canales electrónicos.

Dé el siguiente paso

Para obtener más información sobre la solución de IBM presentada en este caso práctico, póngase en contacto con su representante o socio comercial de IBM.

Ver PDF Ver más historias de clientes
Notas a pie de página

© Copyright IBM Corporation 2020. IBM Corporation, IBM Security, New Orchard, Armonk, NY 10504

Producido en los Estados Unidos, Febrero de 2020.

IBM, el logotipo de IBM ibm.com y Resilient son marcas comerciales de International Business Machines Corp., registradas en muchas jurisdicciones del mundo. Los demás nombres de productos y servicios pueden ser marcas registradas de IBM® u otras empresas. Puede consultar una lista de las actuales marcas registradas de IBM en la web, en "Información sobre derechos de autor y marcas registradas" en www.ibm.com/es-es/legal/copytrade.shtml.

La información contenida en este documento es la vigente en la fecha de su publicación original y está sujeta a cambios por parte de IBM. No todas las ofertas mencionadas en este documento están disponibles en todos los países en los que IBM está presente.

Los datos de rendimiento y ejemplos de clientes mencionados se presentan únicamente con fines ilustrativos. Los datos reales de rendimiento pueden variar en función de las configuraciones y condiciones de funcionamiento específicas. LA INFORMACIÓN DE ESTE DOCUMENTO SE OFRECE "TAL CUAL ESTÁ" SIN NINGUNA GARANTÍA, NI EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, ENTRE OTRAS, LAS GARANTÍAS DE COMERCIALIZACIÓN, ADECUACIÓN A UN FIN CONCRETO Y CUALQUIER GARANTÍA O CONDICIÓN DE INEXISTENCIA DE INFRACCIÓN. Los productos de IBM están sujetos a garantía según los términos y condiciones de los acuerdos bajo los que se proporcionan.

El cliente es responsable de garantizar el cumplimiento de las leyes y reglamentos aplicables. IBM no presta asesoramiento legal ni declara o garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o normativa.

Declaración de buenas prácticas de seguridad: La seguridad del sistema de TI implica proteger los sistemas y la información a través de la prevención, detección y respuesta al acceso indebido desde dentro y fuera de su empresa. Un acceso indebido puede dar lugar a la alteración, destrucción, apropiación o uso indebidos de la información o puede provocar daños o el uso indebido de sus sistemas, incluso para utilizarlos en ataques a terceros. Ningún sistema o producto informático debe considerarse completamente seguro y ningún producto, servicio o medida de seguridad por sí solo puede ser completamente eficaz a la hora de evitar usos o accesos indebidos. Los sistemas, productos y servicios de IBM están diseñados para formar parte de un enfoque de seguridad legal y global, que necesariamente implicará procedimientos operativos adicionales y puede requerir otros sistemas, productos o servicios para ser más eficaz. IBM NO GARANTIZA QUE LOS SISTEMAS, PRODUCTOS O SERVICIOS SEAN INMUNES O VAYAN A HACER QUE SU EMPRESA SEA INMUNE A LA CONDUCTA MALICIOSA O ILEGAL DE TERCEROS.