A medida que la industria bancaria de Pakistán ha seguido evolucionando y desarrollándose, los reguladores del gobierno han hecho su parte para mantener el impulso de la industria mediante la emisión de nuevas normas en respuesta al aumento de los riesgos y amenazas. El más reciente de estos, conocido como Cyber Security Policy 2021, pide a los bancos modernizar los sistemas y procedimientos que tienen implementados para detectar, responder y, en última instancia, impedir los ciberataques en todas sus maneras, desde malware, phishing y suplantación de identidad hasta el “skimming” de datos de tarjetas ATM.
Para el gobierno de Pakistán, la intención de estas nuevas reglas de ciberseguridad era poner al día a los bancos del país, (que hasta ese momento se habían centrado principalmente en el crecimiento y la rentabilidad) de un área en gran parte descuidada. Entre otras medidas, la nueva política exigía que los bancos mantuvieran unas capacidades de seguridad básicas, incluidos centros de operaciones de seguridad (SOC) y herramientas de respuesta automatizada que funcionaran 24 horas al día, 7 días a la semana.
A principios de 2019, cuando la política aún se estaba redactando, Askari Bank, como la gran mayoría de los bancos en Pakistán, solo tenía las capacidades de seguridad más rudimentarias, un gobierno de seguridad limitado y ningún personal de seguridad dedicado. Llenar esa brecha fue el principal mandato de Jawad Khchoza Mirza, que se unió al banco en marzo como director de Seguridad de la Información (CISO). Desde el principio, explica, el fuerte apoyo del consejo de administración propició un clima favorable a la transformación que había previsto. "Nuestra junta directiva era consciente de cómo los bancos de todo el mundo estaban invirtiendo en seguridad", dice. "Reconocieron que sin las capacidades de ciberseguridad adecuadas, así como los profesionales adecuados, no podemos avanzar".
<20 incidentes de seguridad
Reducir el número de incidentes de seguridad de unos 700 al día a menos de 20, al disminuir drásticamente el número de falsos positivos
5 minutos
Se redujo el tiempo necesariopara la reparación de un promedio de 30 minutos a un promedio de 5 minutos mediante la implementación de una respuesta automatizada
Quizás el desafío central que enfrentó Jawad Khalid Mirza fue la necesidad de construir y equipar de personal a un SOC desde cero. Para llegar allí, necesitaría elegir la solución de software de seguridad que abordara las necesidades técnicas de manera más eficiente y rentable, incluida la integración de la solución con los sistemas bancarios centrales de Askari Bank. Además de eso, necesitaba crear el equipo para establecer y gestionar las operaciones técnicas diarias del SOC, incluida la importante detección y gestión de incidentes de seguridad. La tarea requería experiencia en el SOC, y la encontró en Umair Shakil.
Pocos días después de unirse a Askari Bank como jefe del equipo de SOC, Umair Shakil estaba en profundas deliberaciones con Jawad Khalid Mirza sobre la importante decisión de la plataforma. En su rol anterior, ejecutando operaciones de seguridad para uno de los mayores proveedores de telecomunicaciones de Pakistán, Umair Shakil había desplegado la solución IBM® Security QRadar con gran éxito. Como resultado directo de su experiencia positiva, IBM Security entró en la lista de finalistas, junto con las soluciones de seguridad de Microsoft y Splunk.
Basándose en las pruebas de concepto presentadas por cada proveedor, Umair Shakil y Jawad Khalid Mirza realizaron rigurosos ejercicios de evaluación comparativa basados en tres dimensiones principales: rendimiento del sistema, interoperabilidad y facilidad de uso. Además de estos factores, explica Jawad Khalid Mirza, la elección de la plataforma QRadar refleja su confianza en la hoja de ruta que IBM estableció para ello. "Nos vemos tan alineados con la dirección que IBM está dirigiendo a la plataforma QRadar", dice. "Para nosotros, refleja el compromiso de IBM para mejorar aún más una gran solución de seguridad".
Al observar los atributos que favorecieron la solución QRadar sobre los de Microsoft y Splunk, Umair Shakil destaca la facilidad de integración como uno de sus puntos fuertes particulares. "Una de las mejores cosas sobre QRadar es que ofrece múltiples formas de integrarse con nuestros sistemas bancarios centrales, en lugar de un solo método", dice. "Como esperábamos, eso demostró ser una ventaja enorme durante la implementación".
Para ofrecer la solución, Askari Bank se comprometió con IBM Business Partner Software Productivity Strategists, Inc. (SPS), que trabajó en estrecha colaboración con Umair Shakil y su creciente equipo del SOC. Para la detección de amenazas, el componente principal de la solución es IBM Security QRadar SIEM, su producto de gestión de eventos e información de seguridad que permite al banco agregar registros de varias fuentes dentro de un único repositorio. Esto, a su vez, permite al personal del SOC realizar correlaciones y escalar diferentes registros para identificar y priorizar rápidamente los incidentes de seguridad.
Cuando se trata de responder a incidentes de seguridad, la regla general del banco es automatizar siempre que sea posible. Su enfoque básico era emplear las capacidades del manual de estrategias con IBM Security QRadar SOAR, su solución de orquestación, automatización y respuesta de seguridad. En la fase de despliegue inicial, SPS propuso una serie de casos de uso extraídos de su experiencia en la implementación de escenarios de respuesta automatizados para otros clientes. Estos casos de uso luego fueron traducidos a manuales específicos que definieron la secuencia de cómo cada incidente se escalaría a niveles de respuesta más altos o, si fuera necesario, desencadenaría la intervención de un miembro del equipo de respuesta del SOC.
El equipo de Askari Bank, que ha trabajado con el SPS para desplegar 10 libros de jugadas, sigue desarrollando más, con la ayuda del SPS, con el objetivo final de disponer de unos 35 libros de jugadas automatizados. Para Nayab Akbar, vicepresidente adjunto del SPS for Enterprise Security y jugador clave en la participación, el progreso del banco es una señal clara de que el equipo del SOC está obteniendo buena tracción. "Hoy en día, el equipo de Askari está realmente discutiendo los casos de uso de seguridad por sí mismos, y saben cómo traducirlos en libros de jugadas", dice Akbar. "Ahí es exactamente donde quieres que estén tus clientes: dedicando su tiempo y esfuerzos a idear casos de uso para automatizar".
Aunque impedir que las amenazas se conviertan en violaciones de seguridad es la medida definitiva del éxito de un SOC, la eficacia con la que lo hace también es clave a nivel operativo. Y ahí es donde los esfuerzos de automatización de Askari Bank realmente han funcionado. A través de la capacidad de QRadar SI de eliminar falsos positivos, el SOC del banco ha reducido la cantidad de incidentes de seguridad desde aproximadamente 700 por día a menos de 20. Además, los manuales de QRadar SOAR implementados en el SOC permiten al personal resolver estos incidentes en un promedio de cinco minutos, en comparación con los 30 minutos de antes de la transformación de seguridad del banco.
Como señala Umair Shakil, todas estas mejoras de eficiencia impulsadas por la automatización significan que el personal del SOC puede filtrar los incidentes de baja prioridad y los falsos positivos que pueden inundar un SOC, y en su lugar centrarse en abordar riesgos verdaderos y buscar vulnerabilidades. “Para que un SOC sea efectivo, la capacidad de priorizar nuestra respuesta a los riesgos de seguridad más apremiantes es casi tan importante como la detección”, dice Umair Shakil. “En ese sentido, la solución QRadar que desplegamos ha hecho que nuestro equipo sea mucho más efectivo para abordar el panorama de amenazas”.
Es importante destacar que eso significa amenazas que provienen tanto del exterior como del interior del banco. Y eso llega a uno de los problemas de seguridad clave que se enfrentan no solo a los bancos, sino a cualquier organización: administrar las amenazas de seguridad planteadas por "usuarios internos". En muchos casos, los signos reveladores de amenazas de usuarios internos son intentos de inicio de sesión fallidos y comportamientos atípicos o anómalos dentro de la red, como cuando un empleado intenta acceder a una aplicación o base de datos. Para detectar estos riesgos, Askari Bank utiliza la aplicación de análisis de comportamiento del usuario (UBA). Al combinar reglas de comportamiento y análisis con datos de registro y de actividad ya almacenados en QRadar, la aplicación de UBA ha permitido al personal del SOC del banco agilizar el monitoreo, la detección y la investigación, mejorando así la eficiencia de la gestión de amenazas internas. Además, debido a que la UBA utiliza algoritmos analíticos para detectar desviaciones en las actividades de los usuarios, en lugar de reglas estrictas, Askari Bank ha podido usarlo para reducir la frecuencia de incidentes de falsos positivos.
Aunque no hay un único indicador de lo lejos que ha llegado Askari Bank en la mejora de su postura de seguridad desde que trabaja con el SPS para desplegar su nueva solución QRadar, hay muchos puntos de prueba. Por ejemplo, un SOC que ni siquiera existía hace tres años cuenta ahora con un equipo de más de 20 especialistas. Y hay algo más que el banco tiene y que antes no tenía: visibilidad de las amenazas. Gracias a las capacidades de correlación de QRadar SIEM y a su capacidad para proporcionar alertas de alta fidelidad, Askari Bank puede ahora obtener una visión precisa de cuántos delitos está experimentando 24x7.
Jawad Khalid Mirza señala que, además de esta gran mejora de la visibilidad de las amenazas, las respuestas automatizadas que permite QRadar SOAR hacen que el personal del SOC trabaje de forma más eficaz y proactiva para mantener a raya las ciberamenazas actuales y las que surjan en el futuro."El hecho de que ahora podamos cumplir con las regulaciones de ciberseguridad de Pakistán es crítico, pero es solo el comienzo", explica. "Con QRadar, ahora tenemos la eficiencia y la flexibilidad para adaptarnos a un panorama de amenazas cibernéticas que cambia constantemente, sin importar cuán rápido crecemos".
Con sede en Rawalpindi, Pakistán, Askari Bank (enlace externo a ibm.com) es un banco comercial y minorista con 560 sucursales en todo Pakistán y una sucursal bancaria mayorista en Bahréin. Fundado en 1991, Askari Bank es una unidad del Fauji Group, con unos ingresos en 2021 de $4.200 millones de USD y unos 7.500 empleados.
Con sede en Rockville, MD, y oficinas en Islamabad Pakistán, IBM Business Partner SPS (enlace externo a ibm.com) construye soluciones industriales que aprovechan la IA y la nube. Como innovador de clase empresarial y creador de soluciones con experiencia en todas las fases de diseño de productos, desarrollo, despliegue, seguridad, operaciones, monitoreo y soporte, el SPS ayuda a sus clientes a construir, desplegar y proteger aplicaciones. Sus equipos de desarrollo, calidad, ciberseguridad, capacitación, operaciones, monitoreo y soporte trabajan en conjunto para crear sistemas de alto rendimiento, seguros, confiables, escalables y manejables.
Legal
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
Producido en los Estados Unidos de América. Marzo de 2023.
IBM, el logotipo de IBM, IBM Security y QRadar son marcas comerciales o marcas registradas de International Business Machines Corporation, en Estados Unidos u otros países. Otros nombres de productos y servicios pueden ser marcas registradas de IBM o de otras empresas. Una lista actual de marcas registradas de IBM está disponible en ibm.com/trademarks.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas comerciales de Microsoft Corporation en Estados Unidos, otros países o ambos.
Este documento está actualizado a la fecha inicial de publicación e IBM puede modificarlo en cualquier momento. No todas las ofertas están disponibles en todos los países en los que opera IBM.
Todos los ejemplos de clientes citados o descritos se presentan como ilustraciones de la forma en que algunos han utilizado los productos de IBM y los resultados que pueden haber logrado. Los costos ambientales reales y las características de rendimiento variarán según las configuraciones y condiciones individuales del cliente. En general, no se pueden proporcionar los resultados esperados, ya que los resultados de cada cliente dependerán completamente de los sistemas y servicios que soliciten. LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO SE PROPORCIONA “TAL CUAL”, SIN NINGUNA GARANTÍA, EXPRESA O IMPLÍCITA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO Y CUALQUIER GARANTÍA O CONDICIÓN DE NO INFRACCIÓN. Los productos de IBM están garantizados de conformidad con los términos y condiciones de los acuerdos bajo los cuales se proveen.
Declaración de buenas prácticas de seguridad. Ningún sistema o producto de TI debe considerarse completamente seguro, ningún producto, servicio o medida de seguridad puede ser completamente efectivo para prevenir el uso o acceso indebido. IBM no garantiza que ningún sistema, producto o servicio sea inmune o hará que su empresa sea inmune a la conducta maligna o ilegal de ninguna parte.
El cliente es responsable de garantizar el cumplimiento de todas las leyes y regulaciones aplicables. IBM no brinda asesoría legal ni declara que sus servicios o productos garantizarán que el cliente cumple con cualquier ley o regulación.