Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

Por Jason Compton

Qualquer instituição financeira com milhões de membros em todo o mundo enfrenta desafios significativos de cibersegurança. Como fornecedora exclusiva dos militares dos EUA, a USAA enfrenta complexidades adicionais que se originam diretamente do trabalho de seus membros na defesa do país.

A empresa sediada no Texas oferece serviços bancários, de seguros e de investimento para 12 milhões de membros na ativa e aposentados e suas famílias. Com militares dispostos em todo o mundo, espera-se que a USAA entregue uma experiência on-line rápida e confiável, não importa onde os membros estejam quando precisarem fazer negócios.

Como muitos membros na ativa possuem desafios financeiros, a USAA se esforça para minimizar a ansiedade acerca de questões financeiras, garantindo que os membros estejam sempre protegidos. Essa necessidade é sentida intensamente em toda a organização.

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
Na USAA, o CIO e o CSO são pares no organograma.

Pressão sobre membros militares

Como a disponibilidade é uma prioridade alta, a USAA toma todas as decisões de segurança com o tempo de atividade em mente.

"Como somos uma organização digital, ter um serviço sempre ativo e sempre conectado é fundamental para nós", disse Gary McAlum, diretor de segurança da USAA. "Falamos sobre o impacto na experiência do membro em caso de falha de segurança, quer afete um membro ou a associação como um todo."

McAlum é o primeiro CSO da empresa. Antes de assumir a posição há sete anos, ele atuou por 25 anos na Força Aérea dos EUA, em grande parte em uma posição de cibersegurança do Departamento de Defesa.

Na USAA, McAlum é responsável por defender a empresa contra quaisquer ameaças de segurança, continuidade e conformidade, desde ataques cibernéticos massivos até fraudes de pequena escala. Ao projetar proteções para a USAA e seus membros, como uma recente implantação de autenticação baseada em vários fatores, ele considera o que a maioria dos membros já passou.

A USAA sabe que uma grande porcentagem de membros foram vítimas de uma grande violação de dados: Mais de 20 milhões de indivíduos federais e militares conectados foram afetados pelo ataque ao Escritório de Gerenciamento de Pessoal dos EUA. A violação colocou informações pessoais nas mãos de criminosos, informações que poderiam ser usadas para explorar contas financeiras existentes ou para abrir novas contas de forma fraudulenta. McAlum e sua família estavam entre os muitos presos nessa rede.

"Nós tendemos a acreditar que nossos membros militares estão mais vulneráveis a ataques do que outros. Sempre houve um aspecto criminoso da sociedade que procurava explorar membros militares", disse ele. "Então, focamos muito na educação e conscientização, incluindo o aumento da conscientização sobre ataques de phishing."

Suporte a ataques de grande escala

Embora seja um empecilho para golpistas individuais, a USAA também deve permanecer segura e disponível diante de um ataque cibernético grande e bem organizado. A USAA foi alvo dos ataques cibernéticos Operação Ababil de negação de serviço distribuídos (DDoS) contra instituições financeiras dos Estados Unidos em 2012 a 2013.

A USAA notificou com antecedência o ataque planejado. Depois de avaliar a infraestrutura de rede fornecida pela Akamai, a USAA se sentiu confiante de que o ataque planejado não interromperia os serviços oferecidos aos membros. Essa previsão mostrou-se correta. As proteções da Akamai desviaram boa parte do tráfego que poderia ter sobrecarregado serviços fundamentais.

Os ataques DDoS geralmente visam os servidores de nomes de domínio independentes (DNS) que resolvem nomes de domínio, como USAA.com, para hospedar servidores. Sobrecarregue o DNS, e o tráfego legítimo não consegue encontrar uma empresa. A distribuição de DNS na rede ampla da Akamai ajuda a proteger contra essa ameaça.

"Os dois dias de ataque programados não eram eventos para nós. Vimos um pico de atividade e, em seguida, vimos ele se dissipar", disse McAlum. "A rede da Akamai nos dá uma porta de entrada muito ampla e foi capaz de dissipar esse ataque DDoS muito facilmente."

Como a cultura executiva afeta a segurança

Considerando que qualquer chefe de segurança precisa de um forte alinhamento com outros executivos, a USAA projetou o escritório do CSO para ser totalmente independente, com um elo próximo com os líderes seniores no topo.

"Queríamos um orçamento, uma linha de responsabilidade pela segurança", disse ele. "Hoje, tudo, desde a segurança até as investigações e a continuação dos negócios, está sob o grupo de segurança que eu lidero."

Na USAA, o CIO e o CSO são pares no organograma. Em vez de se esforçar para encontrar um terreno comum, os dois têm um grande negócio em comum, disse McAlum.

"A cultura da empresa, impulsionada pelo conselho de administração, é que temos que estar disponíveis para nossos membros", disse ele.

A parceria está funcionando: A USAA realiza cerca de 1,4 bilhão de transações digitais por ano e continua evitando grandes incidentes.

Contra o surgimento constante de violações de dados de alto perfil, McAlum disse que considera a estabilidade da empresa e a parceria CSO-CIO como um modelo para outras pessoas.

"Continuaremos trabalhando de perto ao lado do CIO da empresa, porque todos nós entendemos que se nossos produtos e serviços não estiverem disponíveis ou comprometidos, ninguém ganha", disse ele.

Jason Compton é escritor e repórter com vasta experiência em tecnologia empresarial. Ele é o antigo editor executivo da CRM Magazine.

Conteúdo relacionado ao CIO