Case Studies Archivar Search Case Studies

Un banco utiliza una solución de firewall de F5 para proteger aplicaciones multiplataforma y cumplir la normativa

El Banco Supervielle utilizaba Cisco ACE XML Gateway como firewall para aplicaciones web, pero la solución había llegado al final de su ciclo de servicio. Tras reemplazarla por una solución de F5, el banco logró una funcionalidad más completa, protección más segura para una amplia variedad de aplicaciones multiplataforma esenciales, ahorro en mano de obra, compliance con la normativa y mejor soporte.

Business Challenges

 

Desde su fundación en 1887, el Banco Supervielle ha crecido hasta convertirse en un banco privado de ámbito nacional con cerca de 1,5 millones de clientes en Argentina. Para preservar su reputación, el departamento de seguridad del banco debe mantener sistemas de TI seguros y de alta fiabilidad.

Recientemente, la empresa necesitaba actualizar Cisco ACE XML Gateway, que funcionaba como firewall para aplicaciones web (WAF). Esta solución estaba llegando al final de su vida útil y ya no protegía las aplicaciones esenciales, no cumplía los requisitos del banco de un entorno de alta disponibilidad ni ofrecía una supervisión precisa de la seguridad. Por último, dentro de la infraestructura de TI del banco, la solución de Cisco no permitía inhabilitar un protocolo de seguridad clave (SSLv3) sin interrupción del servicio (SSLv3 tenía vulnerabilidades de seguridad).

"No todas nuestras aplicaciones esenciales estaban protegidas por el WAF", explica Marcelo Lorenzo, analista senior de Seguridad de la información del Banco Supervielle. "No pudimos crear un entorno de control de calidad separado lo suficientemente seguro para cambiar y probar todas las aplicaciones antes de pasarlas a producción". Dada la magnitud de estos problemas, el Banco Central de Argentina informó al Banco Supervielle de que no respetaba el compliance.

Cualquier nueva solución que eligiera el Banco Supervielle no solo tendría que resolver estos problemas, sino también integrarse perfectamente con los sistemas de TI que ya había y admitir numerosas aplicaciones internas y de terceros.

"Con nuestra solución de F5, cada vez que implementamos o actualizamos una aplicación, estamos seguros de que se integra en producción y de que está bien protegida. Esto es una ventaja fundamental para nosotros". Marcelo Lorenzo, analista senior de Seguridad de la información

Solution

 

Para abordar estos problemas, el Banco Supervielle colaboró con un partner de F5 que implementó F5® BIG-IP® Application Security Manager™ (ASM).

"Evaluamos productos de otras empresas, pero no pedimos presupuestos", dice Lorenzo. "Rápidamente decidimos que F5 era lo más conveniente".

Explica que el área de red de TI ya había tomado la decisión de implementar BIG-IP® Local Traffic Manager™ (LTM) por su mayor capacidad para garantizar la distribución de aplicaciones y el equilibrio de carga. Señala también que el banco quería una solución de gestión de la seguridad y una solución de gestión del tráfico independientes, para evitar así compartir archivos entre la red y otros sistemas por cuestiones de seguridad.

Daniel Debarbieri, analista senior de Seguridad de infraestructuras, destaca este aspecto: "Nos gustó la opción de obtener una licencia e implementar una única solución WAF de una empresa y aislarla totalmente de la parte de red de TI". Explica que "fue lógico elegir F5 como solución WAF porque, separada o no, podemos compaginar múltiples soluciones con una misma tecnología y los mismos expertos".

Lorenzo añade "la otra razón principal para seleccionar F5 fue la experiencia del partner. Lo observamos durante la implementación y ahora en el soporte que ofrecen. Cuando necesitamos soporte, F5 y su partner siempre responden". Destaca que esta experiencia resultó especialmente útil en el momento de probar las aplicaciones con BIG-IP ASM en paralelo en las cuatro sedes. "Una vez que todo estuvo configurado, pudimos simular un entorno de producción para llevar a cabo las pruebas más completas posibles".

“Era lógico elegir F5 como WAF porque… podemos compaginar distintas soluciones con la misma tecnología”. Daniel Debarbieri, analista senior de Seguridad de infraestructuras

Benefits

 

Con la elección de BIG-IP Application Security Manager como firewall para aplicaciones web completo, el Banco Supervielle amplió la cobertura a más aplicaciones esenciales y recuperó el compliance con la normativa del Banco Central de Argentina. También supuso un ahorro de trabajo para TI y permitió crear un entorno de alta disponibilidad. 

Refuerza la seguridad

El banco refuerza la seguridad en varios niveles usando BIG-IP ASM como WAF. En primer lugar, al separar el entorno de control de calidad y de pruebas del entorno de producción, el banco se asegura de que todas las aplicaciones (incluidas aquellas que no eran compatibles con la solución WAF anterior) se prueban totalmente con un WAF instalado y en funcionamiento. "Con nuestra solución de F5, cada vez que implementamos o actualizamos una aplicación, estamos seguros de que se integrará en producción y de que está bien protegida", afirma Lorenzo. "Esto supone una ventaja esencial para nosotros y soluciona completamente el mayor problema que preocupaba al Banco Central de Argentina".

En lo referente a la seguridad de SSL, una agencia independiente de calificación de la seguridad le dio al Banco Supervielle una baja calificación por la configuración de sus servidores web SSL. "Ahora figuramos entre los sitios más seguros de Argentina", dice Lorenzo. "Esto es crucial porque algunos clientes comentaban "¿Por qué tenéis tan baja calificación en esta área?" Ahora esto ha dejado de ser un problema".

Admite múltiples plataformas

El nuevo WAF de F5 del Banco Supervielle protege aplicaciones que abarcan desde la banca en casa y sitios web corporativos hasta tarjetas de crédito y facturación electrónica. Además, de un modo inteligente pero poco convencional, el banco utiliza el WAF para proteger una solución de gestión de dispositivos móviles desde Citrix. Las aplicaciones se ejecutan en diversas plataformas; entre ellas, Microsoft Internet Information Services, IBM WebSphere, Java 6.0 y ASP.NET.

"La mayoría de estas aplicaciones son productos de otras empresas", explica Lorenzo. "Se han desarrollado con lenguajes y sistemas operativos diferentes. Elegimos los mejores productos entre diferentes marcas porque no queremos tener un único proveedor".

Con BIG-IP ASM, el Banco Supervielle tiene la capacidad de crear políticas para las distintas plataformas y aplicaciones. "La versatilidad que tenemos ahora para implementar cualquier aplicación y definir reglas nos permitirá mejorar y desarrollar nuevos servicios con más rapidez y confianza", afirma Lorenzo. 

Proporciona información sobre el sistema; ahorra trabajo

El sistema anterior generaba muchos errores que eran falsos positivos, lo que bloqueaba la funcionalidad del sistema y de páginas web que, en realidad, no corrían peligro. "Ya no tenemos que atender falsos positivos casi nunca", comenta Lorenzo. Cada solicitud de asistencia, sea por un problema real o por un falso positivo, consume unos 15 minutos y el número de solicitudes ha disminuido de varias docenas a menos de 10 al mes. "El resultado es que ya no tenemos a los técnicos de TI investigando errores que pueden existir o no, lo que ahorra un trabajo que se puede dedicar a otros proyectos con valor añadido".

Añade que la capacidad de supervisión de BIG-IP ASM ofrece más visibilidad sobre la seguridad de las aplicaciones, de manera que el equipo puede reaccionar ante posibles amenazas antes de que afecten al funcionamiento del sistema. Como ejemplo, cita enero de 2014 en comparación con enero de 2015: "Antes del nuevo WAF, identificábamos y corregíamos de forma proactiva alrededor de 20 sucesos solamente; ahora, más de 55.

"Los departamentos de TI suelen llevarse un tirón de orejas cuando las cosas van mal, pero ningún aplauso cuando el sistema funciona sin problemas", concluye Lorenzo. "Los usuarios no ven cómo supervisamos el estado del sistema, lo único que ven son las solicitudes de asistencia que presentan en su trabajo diario. Hoy sabemos que el sistema está en mejor estado y que hay menos solicitudes, lo que indica que estamos haciendo lo correcto".