En 2017, los bancos e instituciones financieras africanas perdieron la asombrosa cifra de 248 millones de dólares a causa de la ciberdelincuencia, lo que llevó a African Bank con visión de futuro a reevaluar sus medidas de ciberseguridad. A pesar de contar con la protección adecuada, su sistema existente se enfrentaba a retos de complejidad y procesos manuales, poniendo en peligro sus operaciones y la confianza de sus clientes. Conectado a través de MPLS, con acceso controlado mediante ACL, la arquitectura no sólo era costosa, sino también vulnerable a errores y ciberamenazas. Operar con una estrategia de seguridad de dos proveedores agravaba aún más las complejidades, lo que llevó al banco a buscar una solución más unificada y eficaz para combatir las cambiantes ciberamenazas.
EL DESAFÍO
Las cinco sucursales del banco estaban conectadas a los dos centros de datos de la empresa mediante conmutación de etiquetas multiprotocolo (MPLS), y el acceso se controlaba principalmente mediante listas de control de acceso (ACL). Esto resultaba costoso tanto en términos de gastos de comunicaciones como de gastos generales de administración, ya que cualquier cambio de configuración requería visitas in situ de personal cualificado. También exponía al banco al riesgo adicional de vulnerabilidades de seguridad derivadas de errores de configuración de los usuarios. En aquel momento, como muchos de sus homólogos, el banco operaba con una estrategia de seguridad de dos proveedores para proporcionar una doble capa de protección.
La idea básica, muy extendida en su día, era que si un proveedor no detectaba un ataque, éste podía ser detectado por el segundo. Pero a medida que la tecnología y la calidad de la inteligencia compartida sobre amenazas han ido avanzando en todo el sector, ahora se acepta ampliamente que cualquier ventaja queda eclipsada por el aumento del coste, la complejidad y las vulnerabilidades potenciales de tener que dominar y gestionar dos sistemas de seguridad diferentes pero solapados.
La red anterior carecía también de una solución utilizable para el acceso remoto a redes privadas virtuales (VPN). Esta carencia habría resultado especialmente problemática cuando la pandemia de COVID-19 se extendió por el país, provocando un aumento de la demanda de acceso remoto de gran ancho de banda por parte del personal del banco.
LA SOLUCIÓN
Tras elaborar una lista detallada de todos los requisitos actuales y futuros previstos, el banco evaluó una lista de proveedores de seguridad antes de decidirse finalmente por Fortinet. «La solución de Fortinet no sólo superó a las demás en todas las áreas que examinamos, sino que el modelo de precios la convirtió con diferencia en la más conveniente y rentable», comenta el Director de Seguridad de la Información (CISO) del banco. «Con Fortinet, a diferencia de la mayoría de los demás, la funcionalidad de red importante como la red de área amplia definida por software (SD-WAN), así como una amplia gama de características de seguridad ya están soportadas en el Firewall de Próxima Generación FortiGate (NGFW). Estas funciones de seguridad nos permiten certificar nuestra postura de seguridad frente a los requisitos específicos de la banca, como el Programa de Seguridad del Cliente de SWIFT».
«La capacidad SD-WAN por sí sola ha supuesto una reducción de costes del 50%, ya que hemos podido sustituir MPLS por una conectividad de banda ancha económica», añade el CISO, «y no se ha necesitado hardware ni licencias adicionales.» La configuración elegida consistió en FortiGate NGFWs para la SD-WAN que une las sucursales, con FortiSwitch, FortiWiFi y FortiAP que proporcionan una experiencia de conexión consistente y una política de seguridad tanto para usuarios cableados como inalámbricos. Para una mayor seguridad, disponibilidad y optimización de las aplicaciones del banco, se desplegó FortiADC en el centro de datos. Con funciones de seguridad avanzadas como un cortafuegos de aplicaciones web (WAF), protección frente a virus y ataques de denegación de servicio distribuidos (DDoS), así como varios conectores de aplicaciones, FortiADC aporta un despliegue sencillo y una visibilidad completa a la red de prestación de servicios y aplicaciones de una organización.
AFRONTAR EL RETO PERMANENTE DEL CUMPLIMIENTO Y LA EVALUACIÓN DE LA SEGURIDAD
Como cualquier organización que acepta, transmite o almacena datos financieros de clientes, el banco debe cumplir una serie de normas y reglamentos de seguridad, como la PCI DSS. Cumplir estos mandatos de conformidad es un proceso continuo que implica una evaluación y una elaboración de informes continuas que pueden resultar costosas y llevar mucho tiempo si no se dispone de las herramientas adecuadas. Gracias a la capacidad de calificación de la seguridad dentro del sistema operativo FortiOS, el CISO y su equipo son ahora capaces de comprobar continuamente la infraestructura de su banco frente a estándares de la industria como PCI DSS, evitando así la necesidad de contratar costosos consultores externos.
«La gestión intuitiva basada en la interfaz gráfica de usuario de Fortinet, con opciones como la función de calificación de seguridad y las capacidades avanzadas de generación de informes de FortiAnalyzer, ha ayudado enormemente con el cumplimiento», añade el CISO. «En general, hemos logrado nuestros objetivos de mayor seguridad, visibilidad y control», concluye, «y al mismo tiempo, hemos reducido nuestros gastos operativos. Y gracias al programa de formación continua de Fortinet, incluso el coste de incorporación de nuevo personal se ha reducido significativamente.»