El mayor banco de Centroamérica refuerza la confianza de sus clientes protegiendo sus servicios críticos con CyberArk

Resumen

Más de cuatro millones de clientes en toda Centroamérica confían en BAC Credomatic y en la seguridad de sus servicios para proteger su dinero y su información personal. Con CyberArk como parte fundamental de su postura de ciberseguridad, el banco ha aumentado la confianza de sus clientes.

Perfil de la empresa

Iniciando operaciones en 1952 con la creación del Banco de Centroamérica en Nicaragua, BAC es una organización con más de 70 años de experiencia cuyos 19,800 empleados brindan soluciones financieras a más de 4,4 millones de clientes en toda Centroamérica. Durante la década de los 90, BAC se convirtió en el primer Grupo Financiero con presencia en toda Centroamérica. El propósito declarado de BAC es “reimaginar la banca para generar prosperidad en las comunidades a las que atiende”. Con esto en mente, a partir de 2022, BAC lanzó una iniciativa para convertirse en el primer grupo financiero en ser Net Positive (neto positivo), lo que significa que creará más valor económico, ambiental y social positivo que el que produce su huella. Además, BAC declaró su intención de ser un banco que ofrezca soluciones financieras de triple valor positivo centradas en la vida de las personas y el planeta que habitan, lo que significa que con la misma excelencia y rigor que BAC trabaja para maximizar el valor económico, la organización también maximizará y compartirá el valor social y ambiental con todos los grupos de interés. Gracias a su liderazgo regional en transformación digital e innovación, ha desarrollado una banca digital que actualmente utilizan más de 2.1 millones de clientes de forma habitual. Asimismo, BAC ha recibido más de 60 premios y reconocimientos internacionales en los últimos años.

Employees: 19,800

Desafíos

Más de cuatro millones de clientes de toda Centroamérica utilizan BAC, el mayor banco de la región, para pagar las facturas semanales de la comida, guardar los ahorros de toda la vida y gestionar el dinero de las empresas y, como BAC está trasladando muchas aplicaciones a la nube, más de dos millones de esos clientes dependen de esos servicios digitales basados en la nube. La región también ha experimentado rápidos cambios en el panorama de las amenazas a la ciberseguridad, con un número y un nivel de sofisticación de los ciberataques que crece año tras año. Durante la pandemia de COVID-19 aumentaron los ataques de entes malintencionados, phishing y ransomware. Recientemente, un ataque con éxito en Costa Rica afectó a varias organizaciones públicas.

BAC se encarga de garantizar que dispone de los mejores procesos y tecnología para proteger a sus clientes, sus activos, así como al banco y a su personal. Dada la gran reputación de BAC, uno no esperaría escuchar a Vinicio Chaves, el Director Senior de Ciberseguridad de BAC, afirmar que la tecnología de seguridad no es su principal objetivo, pero eso es precisamente lo que él cree, y por una buena razón.

“BAC utiliza la tecnología para garantizar su seguridad. Pero cada día recuerdo a mi equipo que ese no es nuestro verdadero propósito,” explicó Chaves. “El verdadero propósito es generar confianza en los servicios que prestamos a los clientes. Es asegurar a la madre que trabaja de nueve a cinco para dar de comer a su familia que BAC protege sus datos y su dinero.”

El banco se esfuerza al máximo para minimizar las amenazas y garantizar que cumple las normas de ciberseguridad exigidas por la normativa, como la Industria de Tarjetas de Pago (Payment Card Industry, PCI). La seguridad de la identidad ocupa un lugar central en la estrategia de ciberseguridad del banco. Ya se trate de un usuario final, un sistema o un proceso, la seguridad de la identidad es esencial para la detección, la prevención y la protección.

El entorno informático de BAC es principalmente interno e incluye sistemas heredados. Sin embargo, el banco está migrando a la nube y adoptando una estrategia de preferencia por la nube para cualquier nuevo servicio. “Más que una amenaza, vemos la nube como una oportunidad,” afirma Chaves. “Tanto si se trata de un nuevo producto o servicio como de una aplicación con 25 años de antigüedad, los diseñamos para que sean seguros en la nube.”

“Como banco líder en América Latina encargado de proteger a millones de clientes, necesitábamos una solución de seguridad que pudiera ofrecer los más altos estándares de protección,” dijo Chaves. “Evaluamos varios productos diferentes y llegamos a la conclusión de que CyberArk era, y sigue siendo, la mejor solución para proteger las identidades. Además, la variedad de funciones que ofrece CyberArk es un gran diferenciador.”

Chaves añadió que CyberArk no solo protege la identidad y la rotación de contraseñas, sino que también cuenta con otras funciones como el análisis de amenazas privilegiadas (privileged threat analytics, PTA) de CyberArk para detectar cuentas con derechos de acceso no controlados, además de un acceso privilegiado rápido, sencillo y seguro para usuarios remotos. La integración fue otra razón clave para elegir CyberArk.

“Tenemos una mezcla de diferentes plataformas de TI, desde tecnologías heredadas, bases de datos SQL y Linux hasta Windows y servicios en proveedores en la nube, y no hemos visto un solo escenario en el que no hayamos podido integrar CyberArk.”

– Vinicio Chaves, Senior Cybersecurity Manager, BAC

Soluciones

BAC utiliza dos soluciones clave de CyberArk para gestionar la seguridad de las identidades: CyberArk Privileged Access Manager Self-Hosted y CyberArk Secrets Manager Credential Providers. Esta última, por ejemplo, está ayudando a proteger la adopción exponencial de la nube por parte del banco. Pasando de procesos manuales que serían imposibles de sostener, a un flujo de trabajo ágil y automatizado para gestionar secretos para cada servicio creado en nuestros proveedores de nube pública.

Recientemente, Seguridad de TI reunió a desarrolladores y arquitectos de sistemas de diferentes países y departamentos para asegurarse de que no se habilitaban contraseñas, credenciales o secretos en servicios o aplicaciones que no estuvieran controlados por CyberArk. El objetivo era destacar que el banco utiliza CyberArk PAM para centralizar todos los procesos de seguridad. Por ejemplo, si se produce un incidente en Guatemala con el sistema central de cuentas en línea, un especialista de la oficina central puede investigar y mitigar ese incidente.

Para ayudar con la implantación, BAC utilizó el paquete CyberArk Jump Start junto con los servicios de consultoría de CyberArk. “Los profesionales de CyberArk son especialistas, ya que han trabajado con muchos clientes de todo el mundo en las mejores prácticas de seguridad de identidades y gestión de accesos privilegiados,” explica Chaves. “Explicamos nuestros requisitos y utilizamos CyberArk Jump Start para mejorar la implementación, descubrir qué proteger primero y desarrollar una hoja de ruta para habilitar diferentes integraciones y procesos.”

Para el soporte continuo y las operaciones diarias, BAC trabaja con el socio comercial local de CyberArk, Soluciones Seguras.

Resultados

“CyberArk ha permitido a BAC generar confianza en su tecnología y sus servicios,” explicó Chaves. “Solo unas pocas cuentas tienen acceso a millones de clientes, pero esas cuentas están protegidas por CyberArk. Las contraseñas se rotan automáticamente, y si hay alguna anomalía, CyberArk activa inmediatamente una alerta para que la investiguemos. Hemos puesto a CyberArk en el centro de nuestra tecnología para que BAC pueda proteger a los clientes.”

Uno de los objetivos al desarrollar una mayor seguridad de identidad y acceso privilegiado era mejorar el cumplimiento de las normas bancarias internacionales. En aquel momento, las normativas locales, como las de Costa Rica, no exigían una solución de gestión de acceso privilegiado, pero sí el cumplimiento de la PCI. CyberArk no solo cumple los requisitos PCI, sino que también se ha utilizado para establecer las mejores prácticas de ciberseguridad.

“Vimos CyberArk como un medio para implementar conceptos básicos de ciberseguridad en el banco, y ahora es el estándar para todas las plataformas de misión crítica. Esto significó que BAC ya cumplía totalmente las normas cuando los niveles de amenaza aumentaron y los reguladores locales quisieron normas más estrictas.”

– Vinicio Chaves, Senior Cybersecurity Manager, BAC

Además, BAC ha desarrollado un método para medir el impacto y el costo del riesgo. Aplica una puntuación a factores como el nivel de amenaza, la confidencialidad, la integridad de la información y los controles que reducen el riesgo. Como uno de los controles de seguridad críticos de la misión del banco, CyberArk ha reducido la puntuación del riesgo de seguridad del banco.

Chaves explicó cómo CyberArk mejora la gestión de la seguridad de las identidades. BAC tiene varios proveedores externos que acceden a sus sistemas. En el pasado, configurar las VPN y el acceso de los usuarios para cada proveedor llevaba hasta un mes, lo que incluía el desplazamiento físico del personal del banco a cada proveedor. Con CyberArk Vendor Privileged Access Manager, se reduce el tiempo necesario a solo dos horas, proporcionando un acceso seguro de terceros a los recursos internos críticos sin necesidad de agentes, VPN o contraseñas con capacidad de auditoría. Ahora el proceso es más rápido, más seguro y se realiza de forma remota.

“BAC está liderando el cambio de la banca en Centroamérica para que los servicios sean mejores y más seguros para los clientes. Pero los servicios digitales deben ser confiables, para que los clientes confíen en que no necesitan ir a una sucursal,” concluyó Chaves. “Dado el creciente riesgo en regiones como Costa Rica, la gente está naturalmente preocupada por su dinero. Utilizando CyberArk para poner la ciberseguridad y la gestión de identidades en el centro de las operaciones, BAC ha generado confianza en su capacidad para proteger a los clientes.”

Principales beneficios

• Aumenta la confianza del cliente en la seguridad de su dinero.
• Reduce los procesos de gestión de la seguridad de la identidad de un mes a dos horas.
• Mejora el cumplimiento de la normativa internacional y local.
• Mejora la capacidad para cumplir las normas de seguro de ciberseguridad.
• Permite al banco realizar con confianza la transición de las aplicaciones a la nube.