Superar los retos de la PKI en el sector de los servicios financieros

Cómo Keyfactor mejoró la ciberseguridad, la agilidad y la escalabilidad de M&T Bank y EQ Bank

Los datos de los servicios bancarios y financieros se encuentran entre los más sensibles y confidenciales que posee un individuo o una organización. El sector debe reconocer la responsabilidad que tiene para con sus usuarios, evaluar todas las debilidades potenciales de ciberseguridad, corregir cualquier deficiencia y permanecer alerta ante posibles riesgos. Dotar a los equipos de seguridad de sistemas de gestión de certificados sólidos y ágiles es esencial para el crecimiento de cualquier organización financiera, pero ¿qué ocurre cuando ese crecimiento supera la capacidad de su equipo para gestionar certificados? MT&T Bank y EQ Bank recurrieron a Keyfactor para desvelar la respuesta a esta pregunta.

M&T Bank es un banco orientado a la comunidad con sede en Buffalo, Nueva York, y más de 155.000 millones de dólares en activos. Desde su fundación en 1856, la empresa no ha dejado de ofrecer a sus clientes soluciones orientadas a la comunidad, que han evolucionado de forma natural a lo largo de los últimos 165 años, al igual que M&T Bank. La seguridad bancaria moderna requiere agilidad y el compromiso de mejorar su huella digital, y M&T Bank ha aceptado el reto.

M&T modernizó por primera vez su infraestructura de clave pública (PKI) en 2010, iniciando su colaboración con Keyfactor, y el banco sigue dedicándose sistemáticamente a proporcionar las soluciones más fiables y seguras para sus usuarios. La relación con Keyfactor floreció aún más a medida que el volumen de certificados de M&T M&T para nuevos dispositivos y cargas de trabajo comenzó a aumentar rápidamente.

Cuando M&T implantó Keyfactor Command en 2014, proporcionó a sus equipos de seguridad una mayor visibilidad de su inventario de certificados y creó un sistema de alerta para recordar a los usuarios que renovaran los certificados que caducaban. M&T actualizó estas funciones a medida que Keyfactor Command evolucionaba para incluir la detección de redes, las API y la inscripción de autoservicio.

• Eliminación de los puntos ciegos de los certificados: La solución de supervisión y auditoría de certificados basada en la nube proporcionó a M&T Banks una mejor visibilidad, permitiendo a sus equipos de ciberseguridad identificar certificados no autorizados en su red. La visión completa de todos los certificados activos, junto con las funciones de Keyfactor Orchestrator como el escaneado de la red, permitió a los equipos localizar certificados en función de su propiedad, caducidad y ubicación. Keyfactor ayudó a M&T Bank a localizar y eliminar el 50 % de los certificados autofirmados de su entorno y a reducir significativamente sus tasas de error.
• Procesos racionalizados: M&T Bank cuenta con equipos separados para administrar los certificados de confianza externos SSL/TLS y la PKI. Aunque esto es habitual en el sector, Keyfactor se integró con Entrust CA para ofrecer a los equipos de ciberseguridad una experiencia fluida para la inscripción de certificados y la gestión del ciclo de vida. Como resultado, el equipo de ciberseguridad puede organizar los certificados de forma más eficaz, notificar a los propietarios de las aplicaciones antes de que caduquen sus certificados y etiquetar cada certificado con metadatos únicos, lo que mejora su capacidad para realizar un seguimiento de la información importante.
• En lugar de toparse con barreras normativas y perseguir a desarrolladores y administradores de sistemas, los equipos de desarrollo y operaciones de M&T pueden emitir certificados con facilidad utilizando la aplicación Keyfactor Swagger API.
• Mejora de la escalabilidad: La eficacia y escalabilidad de Keyfactor Command ha ayudado a M&T Bank a agilizar su gestión de certificados. El banco cuenta con más de 350 000 certificados, incluidos certificados para autoinscripción, dispositivos móviles, servidores web, redes e infraestructura en la nube.

Fundado hace más de 50 años, Equitable Bank gestiona más de 40.000 millones de dólares en activos y presta servicio a más de un cuarto de millón de canadienses. Equitable Bank lanzó en 2016 el primer banco digital de Canadá, EQ Bank. Al desafiar la relevancia de los bancos convencionales de ladrillo y mortero, el sistema bancario EQ, sin sucursales y totalmente basado en la nube, creció de forma espectacular, lo que planteó dudas internas sobre la estabilidad de la infraestructura de EQ.

EQ carecía de los procesos y procedimientos necesarios para hacer un seguimiento de los certificados. Salvo algunas hojas de cálculo, no disponían de un seguimiento interno de las autoridades de certificación y dependían principalmente de un mecanismo ad hoc que permitía a los propietarios de aplicaciones solicitar y emitir certificados. Los equipos de TI e infraestructuras emitían certificados indiscriminadamente en entornos de desarrollo. Como es comprensible, esto dificultaba a EQ la presentación de informes a los auditores internos y limitaba su capacidad para mantener la integridad de los certificados emitidos en toda la organización. Sin un proceso que rastreara cómo los equipos de toda la organización suministraban certificados, EQ experimentó un aumento de los vencimientos de certificados no reconocidos y no rastreados. Cada vez que esto ocurría, se desestabilizaba la aplicación y se desviaban recursos importantes de su flujo de trabajo habitual para resolver la interrupción.

El equipo de EQ Infrastructure necesitaba una solución que ofreciera las capacidades de emisión de certificados de una CA interna sólida y que, al mismo tiempo, eliminara el esfuerzo de crearla y mantenerla internamente. El equipo de seguridad necesitaba una visibilidad centralizada de los certificados públicos y privados para supervisar y gestionar eficazmente el parque informático. Los administradores de sistemas y programadores necesitaban un método sencillo para utilizar certificados y comunicarse con tecnologías DevOps automatizadas como Azure Key Vault, Kubernetes y la malla de servicios Istio. 

Sólo Keyfactor puede gestionar y alojar una autoridad de certificación y un sistema de automatización del ciclo de vida del certificado en una única plataforma en la nube y, al mismo tiempo, ofrecer el conjunto más completo de API e integraciones, lo que permite a los equipos DevOps de EQ empezar a utilizarlas de inmediato.

Establecer la nueva CA interna de EQ era una prioridad máxima. Con el apoyo de Keyfactor Command y Keyfactor PKIaaS, EQ vio mejoras en todos los ámbitos. 

• Traslado de la PKI a la nube: La estandarización de la emisión y el aprovisionamiento de certificados permitió a EQ concentrarse en flujos de trabajo proactivos, seguridad, entrega de software y dominios de infraestructura con la seguridad de que Keyfactor se ocupaba de la PKI. Gracias a DigiCert y al autoservicio Keyfactor Command , los desarrolladores e ingenieros redujeron a unos minutos las horas que normalmente dedicaban a buscar e implantar certificados aprobados por seguridad.
• Obtuvo visibilidad completa para remediar el riesgo: Keyfactor proporcionó una visibilidad completa de todos los certificados activos mediante el escaneo de las bases de datos CA en DigiCert CertCentral y su instalación ADCS local actual. Esto permitió encontrar todas las certificaciones internas y externas a través de la red. Los ingenieros de seguridad ya no tienen que preocuparse por certificados mal identificados, obsoletos o cuestionables que podrían poner en peligro la disponibilidad de las aplicaciones de EQ gracias a un inventario completo de certificados.
• Elimine las interrupciones con la automatización: EQ redujo con éxito la tasa de errores humanos y eliminó las interrupciones utilizando una combinación de alertas de caducidad y flujos de trabajo de renovación automatizados, ahorrando a su departamento de TI la contratación innecesaria de dos miembros del equipo a tiempo completo para concentrarse en tareas manuales relacionadas con los certificados, como la solución de errores y la resolución de las frecuentes interrupciones. Para automatizar los procesos de aprovisionamiento y renovación en un entorno Azure Key Vault, Keyfactor configuró específicamente Keyfactor Orchestrator. Esto automatiza el proceso de renovación y sustituye certificados caducados con los de la PKI actualizada de EQ.
• Aprovisionamiento de certificados integrado con flujos de trabajo DevOps: Los equipos de DevOps de EQ utilizaron la amplia API y las herramientas de referencia de Keyfactorpara conectarse con la infraestructura y los conjuntos de herramientas actuales. Autenticaron todas las identidades basadas en certificados para garantizar unas comunicaciones seguras. El equipo de DevOps automatizó la emisión y rotación de certificados para el cifrado HTTPS y los puntos de entrada a través de sus despliegues de Azure Kubernetes Service (AKS), la malla de servicios Istio y los contenedores Docker utilizando Keyfactor. El efecto acumulativo de estas integraciones mejoró la agilidad y redujo el tiempo de inactividad.

Los equipos de ciberseguridad de M&T Bank y EQ Bank pueden detectar y corregir más fácilmente los certificados potencialmente problemáticos gracias a la mejora de la visibilidad de los certificados, la racionalización de los procesos, la integración estratégica y la automatización con una PKI actualizada y Keyfactor Command . Esto mejora la seguridad y reduce el riesgo de interrupciones. En lugar de abordar los errores apresuradamente, los equipos pueden centrarse en optimizar la experiencia del usuario.  

Keyfactor comprende lo mucho que está en juego en el sector financiero cuando se trata de proteger la identidad digital. Descubra cómo la plataforma Keyfactor puede modernizar su PKI, evitar interrupciones de certificados, acelerar la seguridad DevOps y mucho más. Solicite una demostración hoy mismo.