Fiserv

Gli amministratori di sistema Fiserv hanno trascorso ore a configurare i server per conformarsi ai benchmark di sicurezza PCI, SOX-Cobit e CIS; per recuperare i dati di conformità, dovevano accedere ai server singolarmente.

Fiserv sta adottando IBM PowerSC Standard Edition (PowerSC) in tutto il sistema IBM® Power Systems, semplificando la configurazione dei server e sbloccando le funzionalità di conformità e reporting in tempo reale.

La missione di Fiserv è aiutare i clienti a trasferire denaro e informazioni in modo da muovere il mondo. L'azienda è specializzata in tecnologia per i servizi finanziari e fornisce soluzioni per pagamenti, servizi di elaborazione, gestione di clienti e canali, rischio e conformità, insight e ottimizzazione.

La gestione delle transazioni finanziarie comporta necessariamente lo scambio, l'archiviazione e l'elaborazione di dati sensibili. Fiserv deve costantemente dimostrare a clienti e revisori che gestirà questi dati in modo responsabile e guadagnare la fiducia dei clienti è una delle sue massime priorità.

Di conseguenza, il team IT dell'azienda prende molto sul serio la sicurezza. I suoi sistemi IT sono sottoposti ogni anno a numerosi e complessi audit interni ed esterni e devono soddisfare numerosi standard di settore e normativi. Tuttavia, gli audit periodici non sono sufficienti a garantire una conformità continua: l'azienda deve anche monitorare i propri sistemi 24 ore su 24, 7 giorni su 7, per garantire che ciascun server mantenga sempre la configurazione corretta.

Come base per la configurazione dei propri sistemi, Fiserv utilizza un framework di sicurezza basato sulle best practice noto come benchmark Center for Internet Security (CIS). Ciascuno dei suoi server deve soddisfare sia le impostazioni obbligatorie che una soglia minima di punteggio complessivo con gli standard definiti nel benchmark.

Zach Floen, IBM Power Systems Engineer presso Fiserv, spiega: "Dal punto di vista della sicurezza, la configurazione ideale per un server consisterebbe nel bloccarlo completamente, in modo che non possa scambiare dati con altri sistemi. Ma se un server non riesce a comunicare, non può fare nulla di utile".

Fiserv monitorava già la configurazione di sicurezza dei suoi server, ma desiderava una gestione end-to-end più integrata della conformità nel suo intero ambiente server. Ad esempio, se i tecnici dell'azienda avevano la necessità di installare un nuovo server, dovevano dedicare quattro o cinque ore di lavoro manuale a una lista di controllo per "rafforzare" la configurazione in modo che superasse la soglia di conformità.

Allo stesso modo, il team aveva spesso bisogno di apportare modifiche temporanee alla configurazione dei server durante la manutenzione e gli aggiornamenti. Gli ingegneri dovevano implementare queste modifiche manualmente e quindi ripristinare le impostazioni originali dei server una volta completate le attività di manutenzione. Sebbene Fiserv adottasse strategie per mitigare i rischi derivanti dal mancato ripristino delle impostazioni corrette, l'azienda cercava un modo per eliminare la possibilità di errore umano controllando le modifiche alla configurazione in modo centralizzato e automatico.

Infine, il team desiderava semplificare i processi di reporting di conformità ed eliminare le attività che richiedevano molto tempo agli amministratori, come il recupero manuale dei report di conformità da un gran numero di server.

Una parte significativa dell'architettura server di Fiserv è costituita da server IBM Power Systems che eseguono il sistema operativo IBM AIX per supportare i principali sistemi finanziari e database. Nell'esaminare le opzioni disponibili per una nuova piattaforma di gestione della conformità, l'azienda ha scoperto l'esistenza di una soluzione su misura offerta da IBM: IBM PowerSC. "IBM PowerSC si sta rapidamente evolvendo in uno strumento molto potente ed efficace per la gestione della conformità", afferma Zach Floen. "Offre funzionalità che i nostri strumenti esistenti non hanno, ed è incluso nella nostra licenza AIX Enterprise esistente, quindi non dobbiamo preoccuparci di costi aggiuntivi". In quel momento, Fiserv si stava preparando a razionalizzare il suo panorama IBM AIX riunendo diversi gruppi di server in un unico ambiente di cloud privato. Questa iniziativa ha rappresentato un'opportunità perfetta per effettuare il passaggio dallo strumento di conformità esistente dell'azienda a PowerSC.

Mentre Fiserv implementa il software PowerSC nell'intero sistema AIX, il team è ansioso di sfruttare le funzionalità di automazione della conformità della soluzione.

Ad esempio, PowerSC monitora un elenco di programmi che possono essere eseguiti su ciascun server e avvisa gli amministratori se vengono eseguiti programmi non autorizzati. Durante le sessioni di manutenzione, questa funzione può essere disattivata per gruppi di server e impostata in modo che si riattivi automaticamente dopo un determinato periodo di tempo. Di conseguenza, gli ingegneri non devono più modificare manualmente le configurazioni durante la manutenzione, riducendo in modo significativo il rischio di lasciare accidentalmente un sistema esposto.

PowerSC fornisce inoltre profili di sicurezza predefiniti che supportano standard di settore e normativi come PCI-DSS, HIPAA e GDPR. Gli amministratori possono applicare un profilo a un server con un solo clic, anziché passare ore a elaborare una lista di controllo di sicurezza per ogni nuova macchina.

"Stiamo lavorando con IBM per creare un profilo di sicurezza che sia completamente conforme al benchmark CIS", afferma Zach Floen. "Una volta definito il profilo, saremo in grado di eliminare ore di configurazione manuale durante l'installazione delle macchine nella nostra nuova piattaforma AIX virtualizzata".

I profili aiutano anche a risolvere rapidamente i problemi di configurazione, come spiega Zach Floen: "Avevamo la possibilità di monitorare i nostri server e di identificare quando si verificava un problema con le impostazioni di un server, ma per risolvere questi problemi dovevamo comunque accedere alle singole macchine. Con PowerSC, basta fare clic su un pulsante nell'interfaccia di amministrazione per ripristinare immediatamente il profilo allo stato corretto".

Fiserv ha registrato un notevole risparmio di tempo nei processi di supervisione della conformità dei server e prevede di risparmiare ulteriore tempo in futuro. Attualmente, il recupero delle informazioni sulla conformità da ciascun server è un processo manuale che richiede molto tempo. Con PowerSC, il team può generare automaticamente un report in pochi secondi.

Zach Floen conclude: "Per Fiserv non si tratta solo di conformità, ma di guadagnarsi la fiducia dei clienti, e questo richiede un ambiente sicuro".

Fiserv è una delle aziende tecnologiche leader a livello mondiale nel settore dei servizi finanziari, con circa 24.000 dipendenti e un fatturato annuo di 5,7 miliardi di USD nel 2017. Le soluzioni dell'azienda forniscono strumenti a più di 12.000 clienti in oltre 80 paesi del mondo e aiutano milioni di consumatori e aziende a trasferire e gestire il denaro in modo rapido e conveniente.