Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA

Servir a los que han servido: ¿por qué la protección de los servicios web es crítica en USAA?

Por Jason Compton

Cualquier institución financiera con millones de miembros en todo el mundo se enfrenta a importantes desafíos de ciberseguridad. Como proveedor exclusivo para miembros de las fuerzas armadas de Estados Unidos, USAA se enfrenta a complejidades adicionales que se derivan directamente del trabajo de sus miembros en la defensa del país.

La empresa con sede en Texas proporciona servicios de banca, aseguradora e inversión a 12 millones de miembros del servicio activos y retirados, y a sus familias. Con personal militar desplegado en todo el mundo, se espera que USAA ofrezca una experiencia online rápida y fiable, sin importar dónde se encuentren los miembros cuando necesitan hacer negocios.

Debido a que muchos miembros activos del servicio tienen desafíos financieros, USAA se esfuerza por minimizar la preocupación por cuestiones de dinero al garantizar que están siempre ahí para los miembros. Esa necesidad se siente profundamente en toda la organización.

Serving Those Who Have Served: Why Protecting Web Services Is Critical At USAA
En USAA, el CIO y CSO son compañeros en el organigrama.

Presión sobre los militares

Ya que la disponibilidad es una prioridad alta, USAA toma todas sus decisiones de seguridad teniendo en cuenta el tiempo activo.

"Debido a que somos una organización digital, tener un servicio siempre activado y siempre conectado es fundamental para nosotros ", indica Gary McAlum, director de seguridad de USAA. "Hablamos sobre el impacto en la experiencia de los socios si hay un fallo en la seguridad, afecte a un miembro o a la totalidad de los miembros".

McAlum es el primer CSO de la empresa. Antes de ostentar este puesto hace siete años, sirvió 25 años en la Fuerza Aérea de los Estados Unidos, gran parte de este tiempo en un puesto sobre ciberseguridad para el Departamento de Defensa.

En USAA, McAlum es responsable de defender a la empresa contra todas las amenazas de seguridad, continuidad y cumplimiento, desde ataques cibernéticos masivos hasta fraudes a pequeña escala. A la hora de diseñar los sistemas de protección para USAA y sus miembros, como la reciente implantación de la autenticación multifactorial, tuvo en cuenta lo que la mayoría de los miembros ya habían pasado.

USAA sabe que un gran porcentaje de los miembros fueron víctimas de una gran filtración de datos: Más de 20 millones de federales y personas conectadas con los militares se vieron afectadas por el ataque a la Oficina de administración de personal de los Estados Unidos. Esta filtración puso la información personal en manos de los delincuentes, información que podría utilizarse para explotar cuentas financieras existentes o para abrir nuevas cuentas de manera fraudulenta. McAlum y su familia estaban entre los muchos atrapados en esa red.

"Tendemos a creer que nuestros miembros militares son más vulnerables a los ataques que otro colectivo. Siempre ha habido un aspecto criminal de la sociedad que busca estafar y explotar a los miembros militares". "Así que nos centramos mucho en la educación y conocimiento, incluida la sensibilización de los ataques de phishing".

Resistencia a los ataques a gran escala

Mientras se defiende de estafadores individuales, USAA también debe mantenerse seguro y disponible frente a un ataque cibernético grande y bien organizado. USAA fue objetivo de la operación Ababil de ciberataques distribuidos de denegación de servicio (DDoS) contra instituciones financieras con sede en Estados Unidos en 2012-2013.

USAA había avisado con antelación del ataque previsto. Después de evaluar la infraestructura de red provista por Akamai, USAA estaba seguro de que el ataque planeado no interrumpiría los servicios de los miembros. Esa predicción resultó correcta. Las protecciones de Akamai desviaron gran parte del tráfico que, de otro modo, podría haber saturado servicios cruciales.

Los ataques DDoS a menudo se dirigen a los servidores de nombres de dominio (DNS) independientes que resuelven los nombres de dominio, como USAA.com, que alojan servidores. Saturan el DNS y el tráfico legítimo no podrá encontrar un negocio. La distribución de DNS a través de la amplia red de Akamai ayuda a protegerse contra esa amenaza.

"Los dos días de ataque programados fuero un fiasco para nosotros. Vimos un pico de actividad, y luego lo vimos disiparse," señaló McAlum. "La red de Akamai nos proporciona una puerta de entrada muy ancha y pudo disipar ese ataque DDoS muy fácilmente".

Cómo afecta la cultura ejecutiva a la seguridad

Teniendo en cuenta que cualquier jefe de seguridad necesita una alineación sólida con el resto de ejecutivos, USAA diseñó la oficina de CSO para ser totalmente independiente, con un vínculo cercano con los líderes superiores en la parte superior.

"Queríamos un presupuesto, una línea de contabilidad para la seguridad", señaló. "Actualmente, todo, desde la seguridad hasta las investigaciones y la continuación del negocio, cae bajo el grupo de seguridad que dirijo".

En USAA, el CIO y CSO son compañeros en el organigrama. En vez de luchar para encontrar un terreno común, los dos tenemos un gran negocio en común, añade McAlum.

"La cultura de nuestra empresa, impulsada desde la junta directiva, es que tenemos que estar a la disposición de nuestros miembros", señaló.

La asociación está trabajando: USAA lleva a cabo aproximadamente 1.400 millones de transacciones digitales cada año y continúa evitando incidentes importantes.

Contra un ritmo constante de filtraciones de datos de alto perfil, McAlum explica que considera la estabilidad de la empresa y la asociación única de CSO-CIO como un modelo para otros.

"Continuaremos trabajando muy de cerca junto al CIO, porque todos comprendemos que si nuestros productos y servicios no están disponibles o están en riesgo, nadie gana", dijo.

Jason Compton es escritor y periodista con amplia experiencia en tecnología empresarial. Director ejecutivo de la revista CRM.

Related CIO Content