Svensk Travsport crea una estrategia de seguridad de la identidad centrada en la protección del acceso de los trabajadores

Resumen

Frente a múltiples ataques a sus datos confidenciales, la asociación deportiva sueca de trotting, Svensk Travsport, ha reforzado su infraestructura de TI con una estrategia de seguridad de la identidad basada en CyberArk. Dirigida por Arnold Johansson, arquitecto de seguridad empresarial, en pocos días la organización había habilitado un acceso seguro para 600 empleados y más de 200 aplicaciones. Además de mejorar la conformidad en materia de seguridad y garantía, Svensk Travsport aumentó su calificación NIST en varios niveles.

Perfil de la empresa

Svensk Travsport es el organismo regulador del trotting sueco: carreras de caballos y carros de dos ruedas. La organización se ocupa de áreas como las competiciones, el bienestar de los caballos, la propiedad de caballos, la cría y la información deportiva. Svensk Travsport es propiedad de 33 hipódromos por toda Suecia. En nombre de los hipódromos, la organización proporciona servicios de TI, datos e información utilizados para las operaciones y las apuestas en las carreras de caballos. Aunque es una organización pequeña, debido a la sensibilidad de sus datos, especialmente la información utilizada para informar las decisiones de apuestas, Svensk Travsport sufre un nivel inusualmente alto de ciberataques.

Empleados: 600

Desafíos

Arnold Johansson se enfrenta a innumerables retos cada día; en lo más alto de la lista se encuentra un número inusualmente alto de ciberataques que han afectado a su organización. Johansson es arquitecto de seguridad empresarial en Svensk Travsport, el organismo regulador del trotting sueco. Aunque Svensk Travsport no gestiona las apuestas en sí, proporciona información sobre las carreras y las transacciones relacionadas con los caballos. A menudo se trata de datos confidenciales, ya que incluyen datos sobre el rendimiento de los caballos y los jinetes, el historial de victorias y los pedigríes de los caballos. Los propietarios y entrenadores utilizan estos datos para decidir dónde invertir y cómo entrenar mejor a los caballos. El público utiliza estos datos para tomar decisiones sobre sus apuestas, lo que los convierte en datos muy valiosos y en el centro de los ataques. Además, la conformidad normativa y las normativas, como el GDPR, cambian constantemente. Los datos incluyen información sobre el personal y alrededor de 15.000 miembros externos, como jinetes, propietarios y criadores.

Como si ese no fuera un reto suficiente para Johansson, el panorama de la ciberseguridad está cambiando. Al haber gestionado la seguridad para muchas organizaciones diferentes, Johansson ha visto un cambio lento pero gradual de la seguridad local a la nube. «La ciberseguridad era como una cebolla», dijo Johansson. «Cuando empecé, todo eran instalaciones locales y capas de «cebolla» protegidas. Pero cuando pueda atravesar las capas, estará dentro. Ahora, la cebolla se está abriendo para permitir entornos distribuidos, por lo que se necesita un enfoque de protección diferente».

Bajo la orientación de Johansson, y con el respaldo de su CISO, la Seguridad de la Identidad es una estrategia empresarial central en Svensk Travsport. Hay dos objetivos clave que Johansson cree que deben ir de la mano. En primer lugar, se trata de lograr un alto nivel de garantía para la protección de los datos y de las partes interesadas y, en segundo lugar, de facilitar a los usuarios el acceso a los datos y a las aplicaciones. La estrategia abarca varios enfoques, entre los que se incluyen la implementación de una solución Single Sign-On fácil de usar y el uso de métodos de MFA de alta seguridad como las tarjetas inteligentes y la protección del acceso con privilegios.

Soluciones

Johansson evaluó a varios proveedores antes de elegir a CyberArk para dar vida a su estrategia de Seguridad de la Identidad.

Svensk Travsport ha desplegado CyberArk Workforce Identity como la base de su plataforma de gestión de la Seguridad de la Identidad. La solución proporciona protección y detección continuas de amenazas a la identidad, y gestiona las identidades. La organización también utiliza CyberArk Privileged Access Manager Cloud para proteger y aislar el acceso a los sistemas esenciales. La implementación se gestionó en colaboración con CyberArk Services utilizando Jump Start Service Package. El uso de las soluciones basadas en SaaS de Seguridad de la Identidad y Jump Start Service Package de CyberArk ha ayudado a Svensk Travsport a cumplir rápidamente sus objetivos iniciales y a crear una base sólida para ampliar y madurar su programa de Seguridad de la Identidad.

«Svensk Travsport eligió a CyberArk porque satisfacía nuestras necesidades, es fácil de personalizar y puede evolucionar a medida que nuestro negocio cambia. Sentí que el enfoque de CyberArk para proteger las identidades era una de las mejores soluciones que he visto». – Arnold Johansson, arquitecto de seguridad empresarial de Svensk Travsport

El otro factor clave fue la asociación con CyberArk. «CyberArk es una empresa que siempre está alerta, preparada para ayudar a Svensk Travsport a conseguir la mejor solución y cumplir las normas de conformidad», comentó Johansson. CyberArk Workforce Identity era una de las pocas soluciones que combinaba tanto el acceso con privilegios como las capacidades de gestión de acceso e identidades, además de integrarse a la perfección con otras aplicaciones empresariales, incluido Microsoft Active Directory.

La implementación de CyberArk Workforce Identity:

• protege a 600 empleados de la sede central y alrededor de 200 aplicaciones principales;
• se integra con tarjetas inteligentes físicas para un acceso fluido a dispositivos, aplicaciones, datos y edificio;
• la siguiente fase de implementación será el personal y los sistemas en 33 hipódromos.

Del mismo modo, Privilege Access Manager Cloud permite a Svensk Travsport almacenar credenciales de acceso a infraestructuras críticas y aislar y supervisar las sesiones que acceden a estos sistemas y datos confidenciales.

Gracias a su larga experiencia en el sector, Johansson sabía que sería un reto conseguir que el personal comprendiera que el trabajo distribuido —comparado con el local— exigía un enfoque diferente de la ciberseguridad. Cuando CyberArk Workforce Identity se introdujo por primera vez, Johansson se centró en la usabilidad. Subrayó que, en lugar de ser restrictiva, la solución mejoraría el acceso y reduciría la complejidad. Por ejemplo, los usuarios pueden almacenar contraseñas de forma segura una vez en lugar de usar notas adhesivas colocadas en un escritorio. «Si la gente utiliza una rueda cuadrada, es un esfuerzo convencerles de que una rueda redonda es mejor», explicó Johansson.

Lo siguiente en la campaña de Johansson para mejorar la ciberseguridad en Svensk Travsport es ampliar CyberArk Workforce Identity para dar soporte y proteger las operaciones móviles. Caso de referencia: el personal de las ubicaciones de las carreras utiliza dispositivos móviles para recopilar información sobre el rendimiento a pie de pista. Además, las aplicaciones de terceros acceden y utilizan los datos de Svensk Travsport.

Resultados

Desde su incorporación a Svensk Travsport, Johansson ha supervisado una transformación en la gestión y la protección de la ciberseguridad. Johansson comentó que, tras haber trabajado en el sector salud y en el sector financiero, Svensk Travsport ahora cuenta con un nivel de protección superior al de muchas de esas organizaciones, incluso con datos mucho más confidenciales.

«CyberArk Workforce Identity es el buque insignia que impulsa la estrategia de Seguridad de la Identidad en Svensk Travsport», afirmó Johansson. «La solución es uno de nuestros productos de seguridad clave. La versatilidad de la integración y la facilidad de uso hacen que CyberArk Workforce Identity sea imprescindible para nosotros y las partes interesadas que utilizan nuestros datos y confían en nuestra protección. Ha facilitado mucho mi trabajo y ahora nuestro CISO logra dejar de usar CyberArk Workforce Identity.»

Utilizando el marco de ciberseguridad del NIST, CyberArk Workforce Identity ha ayudado a Svensk Travsport a subir varios niveles. El NIST (Instituto Nacional de Estándares y Tecnología de los Estados Unidos) integra los estándares y las prácticas recomendadas del sector para ayudar a las organizaciones a gestionar los riesgos de ciberseguridad. CyberArk se ha convertido en un elemento fundamental para permitir a Johansson y a su equipo gestionar la Seguridad de la Identidad de forma eficaz en toda la organización. CyberArk es una piedra angular y una de las soluciones de seguridad más importantes y significativas de Svensk Travsport.

«CyberArk Workforce Identity me ha facilitado la conversación con los usuarios sobre seguridad. Antes, siempre se trataba de encriptación y la gente como yo era vista como científicos tecnológicos», concluye Johansson. «Ahora todo el mundo comprende la importancia de la Seguridad de la Identidad y cómo las soluciones como CyberArk Workforce Identity facilitan mucho las operaciones diarias».

Principales ventajas

• Conformidad mejorada en materia de seguridad y garantía: aumento de los niveles del marco de ciberseguridad del NIST
• Asistencia para cumplir estrictas normativas de ciberseguridad y protección de datos
• Acceso seguro simplificado para 600 empleados, 15.000 miembros y 200 aplicaciones
• Mayor productividad del personal al simplificar las operaciones diarias y el acceso a las aplicaciones y los datos
• Establecimiento de las bases para una estrategia de Seguridad de la Identidad en toda la empresa