Un proyecto internacional de seguridad informática en el sector bancario: Dondé Banco
Irontec lidera el área de seguridad dentro del proceso de transformación de Dondé (una de las casas de cambio más importantes de México, con 440 sucursales y más de 1 millón de clientes) en un nuevo banco, mediante una plataforma de relación con sus clientes de confianza, creada gracias a nuestro expertise en seguridad informática para el sector financiero.
Irontec crea un entorno seguro de relación con sus clientes para uno de los bancos más conocidos de México, aportando su know-how en seguridad para el sistema financiero. Dondé Banco
La seguridad informática es un aspecto vital cuando la privacidad de los clientes entra en juego (aún tenemos en la memoria el gran desastre de Ashley Madison). Algo, aún más relevante en el sector bancario, con todo lo que implica. Por eso, este proyecto ha sido especialmente estratégico: la evolución de Fundación Dondé Banco (una de las casas de cambio más importantes de México, con 440 sucursales y más de 1 millón de clientes) hacia un banco, implicaba una serie de nuevos retos y requisitos de seguridad
Nuestra labor ha sido ayudarles tanto en la seguridad de sus servicios digitales como de sus infraestructuras tecnológicas. Para ello, hemos realizado una consultoría y auditorías de seguridad para la implementación de la web del banco y su lanzamiento público, junto con Merkatu Interaktiba (que ha liderado el área de negocio). Un proyecto para un cliente internacional del que nos sentimos especialmente orgullosos.
Consultoría, auditoría y despliegue de infraestructura de seguridad
En un proyecto de esta envergadura, el primer paso necesario era una consultoría donde planificar las medidas necesarias para que la web del nuevo Banco Dondé fuera completamente segura.
Dicha consultoría planteó una infraestructura que, tras validarse con diferentes auditorías de seguridad, se hizo realidad con una serie de despliegues de los sistemas informáticos del banco.
Tras esta fase de despliegue, se generó documentación operativa y un modelo estandarizado para que el cliente pueda utilizar en proyectos futuros el know-how adquirido. Esto ya ha servido, por ejemplo, para crear un nuevo portal y ponerlo en producción con una considerable reducción del tiempo de puesta en marcha.
Desarrollo de una plataforma de marketing bancario
Una de las claves del proyecto era afianzar la seguridad del sitio web en su proceso de rediseño, ya que se trata de una plataforma de marketing online esencial para que Dondé Banco pueda captar nuevos clientes, gestionar sus pedidos y fidelizarlos con un servicio eficaz y seguro.
Se creó una conexión segura entre el gestor de contenidos (Joomla CMS) y la base de datos (MySQL). Para ello se dividió el CMS (Sistema de gestión de contenidos) en 3 capas, cada una con su propio firewall: interfaz (front-end), aplicación y base de datos.
Además, se dotó a la infraestructura de acceso de un sistema de detección/prevención de intrusos (IDS/IPS), además de un firewall de capa 7 sobre la aplicación para evitar actividades que supongan un riesgo de seguridad. Adicionalmente, se implementó un sistema de tokens para controlar las interacciones con formularios, entre otros aspectos.
La seguridad, prioridad para un banco
A modo de resumen técnico del proyecto, se han adoptado medidas de seguridad en los siguientes niveles:
· Datacenter: implementación de firewall perimetral con reglas de acceso y políticas antiDDoS
· Arquitectura de servidores en alta disponibilidad
· Firewall: implementación de seguridad a nivel de firewall
· Red: definición de arquitectura DMZ, protección de servidores de backend, definición de VLANs y vSwitches, sistema de detección/prevención de intrusos IDS/IPS
· Sistema operativo: firewall local proactivo e implementación de reglas locales de seguridad, comprobación de permisos en sistema de ficheros, securización del kernel y sus módulos
· Servicio: intercambio de información cifrado y protegido
· Servidor: detección y localización rootkits, entre otras mejoras
· Protocolo: establecimiento de cifrado SSL y despliegue de VPN interna entre servicios involucrados
· Específicas para Joomla (extensiones de seguridad, protección de login de usuarios, configuración de permisos)
· Auditorías previas de seguridad con software Arachni
· Scanners de seguridad y tests de intrusión con OSSIM
· Otras medidas de seguridad adicionales
