La presencia global y el crecimiento histórico han impulsado a ING a situarse entre los 50 principales bancos de Europa, una posición que, al mismo tiempo, le ha generado la necesidad de mejorar la eficiencia de sus equipos operativos. Los responsables de TI de la entidad tenían dificultades para coordinar todos los departamentos que operaban de forma independiente en todo el mundo. Esa falta de uniformidad hizo que fuese muy complicado adelantarse a las ciberamenazas y garantizar el correcto cumplimiento en un sector altamente regulado. Sin embargo, ahora ING está liderando la transformación hacia un entorno de TI unificado y bien coordinado con un despliegue completo, que incluye diferentes soluciones de seguridad de Microsoft. Estas iniciativas están aportando grandes beneficios: mayor eficiencia y facilidad para los equipos de seguridad de TI, junto con una mayor visibilidad de todo el entorno para lograr una postura de seguridad más fácil de gestionar y preparada para el futuro.
Si los retos que suponen los diversos escenarios tecnológicos, las normativas internacionales y la constante evolución de las ciberamenazas fueran una moneda de cambio, ING sería una institución financiera todavía más grande de lo que ya es. La organización es un agente importante dentro del sector bancario internacional, y ocupa el undécimo lugar en la lista de Insider Intelligence de los 50 mayores bancos europeos de 2022.
ING debe su crecimiento a la combinación de tecnología avanzada y las prácticas tradicionales del sector financiero. Por eso, recurrió a las soluciones de seguridad de Microsoft para obtener un enfoque centralizado y consolidado que fuese capaz de proteger sus activos digitales tanto en entornos de nube privada, pública, como multicloud, en lo que tradicionalmente era un panorama fragmentado.
Aprovechar la experiencia para lograr un futuro exitoso
El león naranja del logo de ING refleja una historia llena de orgullo, con el negocio más antiguo de su cartera fechado en 1762. Simbolizando a los Países Bajos, tanto por su color naranja como por el emblema del león, la actual ING surgió de la fusión de dos destacadas empresas holandesas -un banco y una compañía de seguros- en 1991. Desde entonces, se ha convertido en uno de los principales bancos digitales del mundo, con más de 57.000 empleados que atienden a más de 38 millones de clientes en más de 40 países.
Desde el principio, la entidad ha dado prioridad a la innovación, introduciendo avances que favorezcan los intereses de sus clientes, como la gestión bancaria sin necesidad de entidades físicas o las aplicaciones de banca móvil. «Internamente, nos referimos a nosotros mismos como una empresa de TI con licencia bancaria«, dice Przemyslaw Wolek, jefe de la división global de Seguridad de TI en ING. Wolek y su equipo de 300 ingenieros se enfrentan al legado de múltiples fusiones y adquisiciones que han dado forma a la actual ING. Ellos se consideran un facilitador para lograr más agilidad y eficacia dentro de la organización. «La consolidación está en el centro de nuestra estrategia para ING«, continúa Wolek. «Unificar la infraestructura es algo obvio. Lo más importante es que queremos armonizar los procesos de negocio para ser realmente una sola empresa, compartiendo los elementos técnicos en la medida de lo posible.»
En los últimos 10 años, los responsables de TI de ING han centralizado de manera sistemática el entorno tecnológico del banco, combinando la mayoría de sus centros de datos locales en una nube privada, eliminando las aplicaciones heredadas, migrando las cuentas de usuario a una única instancia de Azure Active Directory y estandarizando las aplicaciones. Además, ING está en proceso de sustituir ArcSight por Microsoft Sentinel.
La pandemia de la COVID-19 aumentó la necesidad del banco de acelerar su transformación digital. Además del cambio hacia el trabajo híbrido, ING tomó conciencia de que sus clientes también dependían cada vez más de la interacción digital.
«Entendemos que la banca tradicional ya no existe: tenemos que ser totalmente digitales, rápidos y estar disponibles de inmediato para nuestros clientes, estén donde estén«, afirma Wolek. «Los clientes de hoy en día quieren que los servicios bancarios se presten sin problemas en cualquier plataforma«. Esa demanda de tener que estar en cualquier lugar y en cualquier momento, orientó a ING hacia la nube.
Un entorno unificado y multicloud con las soluciones de seguridad de Microsoft
ING utiliza Microsoft Azure, Oracle Cloud y Google Cloud Platform para hacer frente a sus necesidades de almacenamiento, seguridad y análisis de datos. Desde el punto de vista de la seguridad, Microsoft Defender for Cloud proporciona una visión única del entorno multicloud de ING, que se consigue gracias a que Azure Arc recopila todos los archivos de registro y las señales de las diferentes plataformas. A continuación, Microsoft Sentinel los analiza, permitiendo a los expertos de seguridad revisar y responder a las posibles amenazas de forma rápida y proactiva.
El banco se está preparando para adoptar una solución de software como servicio (SaaS) más preparada para el futuro. «Estamos apostando por una visión de seguridad basada en SaaS», comenta Wolek. «Microsoft es muy fuerte en este sentido y creemos que sus soluciones de seguridad nos ofrecen grandes beneficios desde el primer momento«. ING considera que Microsoft Sentinel es la solución clave para coordinar los flujos de datos de sus diversas nubes. «Hemos hecho de Microsoft Sentinel nuestra principal fuente de análisis«, explica el ingeniero Piotr Pociecha, Product Owner de ING. «En comparación con nuestro anterior SIEM local, Microsoft Sentinel no solo es rápido de configurar y fácil de usar, sino que es muy escalable«.
Krzysztof Kuźnik, Product Owner de ING, añade: «Queremos que nuestros analistas inviertan la mayor parte de su tiempo en la consola de Microsoft Sentinel. Apreciamos el apoyo del equipo de Microsoft Sentinel a la hora de abordar nuestros retos con la configuración de la seguridad, automatización y riesgo.» Kuźnik considera que las capacidades de Microsoft Sentinel son un avance a la hora de gestionar los miles de incidentes de seguridad por segundo que recibe ING.
«Podemos aumentar la eficiencia de la detección mediante la transmisión de datos de múltiples sistemas a una sola capa de integración que creamos dentro de Azure Databricks«, explica Kuźnik. “Esa capa procesa las alertas y crea modelos de machine learning supervisados. Los resultados se convierten en incidentes dentro de Microsoft Sentinel.»
Creación de una seguridad unificada y por capas con Microsoft Defender
Habiendo recurrido ya a Microsoft para una solución de protección de puestos de trabajo antes de la pandemia, ING aceleró el despliegue de su estrategia de detección y respuesta avanzada (XDR), comenzando con Microsoft Defender for Endpoint. Al compararlo con experiencias previas que habían requerido un intenso esfuerzo para sus equipos, Wolek se mostró entusiasmado. «Nada más empezar a usarlo, Microsoft Defender for Endpoint detectó los incidentes sin mucha intervención de nuestros ingenieros y cumplió completamente nuestras expectativas«, recuerda. «También mejoramos notablemente nuestra agilidad. Gracias a la velocidad de aprendizaje que obtenemos ahora, nuestros ingenieros tienen la flexibilidad de añadir conocimientos específicos de ING a la solución.»
Pero, no se limita a endpoints, sino que ING aprovecha todo el alcance que ofrece Microsoft 365 Defender, incluida la protección del correo electrónico. Ahora, el equipo puede reconocer mejor los intentos de phishing y bloquearlos desde el principio, basándose en su propia inteligencia mediante el uso de datos para identificar riesgos adicionales. La eficacia de tener un entorno centralizado hizo que se frustrasen los ejercicios de red team. «La visibilidad que tenemos con Microsoft 365 Defender es clave para proteger nuestros activos«, señala Kuźnik. «Nuestros equipos de simulación de adversarios (red teams) nos acusaron de hacer trampa: pensaron que habíamos encontrado una forma de acceder a sus estrategias«.
Para su compañero Piotr Pociecha, el flujo de datos de la telemetría de Microsoft 365 Defender y la visibilidad que proporciona son vitales para identificar a los posibles atacantes y para defender de forma proactiva su ciberseguridad. «Una sola capa de detección no es lo suficientemente fuerte y es propensa a cierto nivel de falsos positivos«, relata Kuźnik. «Si vemos actividad de un solo endpoint, puede que sea maliciosa o no. Por otro lado, Microsoft 365 Defender establece una correlación entre las señales de los endpoints, el correo electrónico, los documentos, la identidad, las apps, etc. Por lo que, si vemos que un archivo se ha descargado desde un endpoint y se ha enviado por correo electrónico a alguien de fuera de nuestra organización, es una señal clara de actividad maliciosa.»
«Todo nuestro entorno está cubierto gracias a la telemetría que recibimos a través Microsoft 365«, asegura Pociecha. «Todo está disponible a través de un único panel de control y eso ha sido fundamental para aumentar la proactividad y mejorar nuestra seguridad«.
Añade Kuźnik: «Consideramos que el hecho de que Microsoft 365 Defender combine señales para la detección de amenazas cambia las reglas, ya que conecta los datos desde la perspectiva de la identidad y del endpoint para localizar las señales que de verdad son maliciosas.» Kuźnik considera que el banco ha eliminado prácticamente el phishing como vector de ataque. «La capacidad de investigar un archivo señalado por una alerta de Defender for Endpoint con la funcionalidad de prevalencia de ficheros -mi favorita- facilita la labor de entender dónde se identificó el archivo dentro de la organización. Nunca antes hemos tenido una solución como esta«. La opinión de Kuźnik sobre la solución de XDR está relacionada con la forma en la que puede utilizarse para incidentes que se desarrollan en varias fases. El seguimiento de los endpoints por sí solo puede crear un alto número de falsos positivos, explica, pero los datos de toda la plataforma de Defender combinados son un valor diferencial poderoso para la ciberseguridad.
Invertir en el futuro: Siguientes pasos de ING
La mejora de su nube privada y el cumplimiento normativo sigue siendo una prioridad para ING a medida que avanza en su estrategia de unificación. Gestionar una nube híbrida en un entorno global requiere una cierta capacidad de simplificación, algo que ING echaba en falta cuando confiaba en la solución de prevención de pérdida de datos de McAfee.
Con el objetivo de cumplir todos los requisitos normativos necesarios, ING está probando la Prevención de pérdida de datos de Microsoft Purview para asegurarse de que el equipo puede definir y revisar las diferentes políticas. También quiere desplegar Microsoft Purview Compliance Manager a principios de 2023. «Con Compliance Manager, obtenemos una monitorización y una implementación sencillas, y está completamente integrado con Microsoft 365 y todas nuestras soluciones de Microsoft Defender«, indica Wolek. Por último, ING está evaluando la escalabilidad y las capacidades de Microsoft Defender for Servers para supervisar y proteger los miles de servidores de su entorno de nube privada.
En un sector en el que la seguridad no es negociable, la elección de ING es clara. «No podemos hacer concesiones en materia de seguridad, tiene que estar garantizada«, concluye Wolek. «Nuestra elección hoy es la tecnología de Microsoft. Interactúa muy bien con nuestro entorno y nos proporciona la hoja de ruta que debemos seguir para mejorar nuestra eficacia.»