Banco Industrial

Banco Industrial, uno de los principales bancos privados de capitales

argentinos, necesitaba monitorizar sus sistemas para mantener un control
integral de su seguridad y de sus aplicaciones críticas, ya que esta situación
afectaba el rendimiento y cumplimiento ante los pedidos del Banco Central.

Banco Industrial es un banco privado de capitales
nacionales con 80 años de trayectoria de
compromiso con el crecimiento de Argentina. Con
una red de 28 sucursales en las principales ciudades
del país, desarrolla una oferta integral de servicios
especializados en Banca de Individuos, Banca de
Empresas y Banca de Inversión.
La necesidad de una herramienta de monitorización
El Departamento de Seguridad Informática de Banco
Industrial se encontraba ante un problema que
afectaba su rendimiento y su posibilidad de
cumplimiento en tiempo y forma ante los pedidos
del Banco Central. Gustavo Cejudo, Oficial de
Seguridad Informática del Banco, cuenta “era muy
difícil controlar todos los logs de todas las
aplicaciones” . Banco Industrial trabaja
principalmente con dos grandes plataformas,
Windows y Linux, y además posee numerosas
aplicaciones, lo que dificultaba tener un control
integral y completo.
Al tener que seleccionar una herramienta de
monitorización, Banco Industrial siguió el
procedimiento corporativo de evaluar tres
proveedores. “Nos hizo elegir Barcelona/04 el costo,
los tiempos de implementación y el nivel de la
solución. Esos fueron los caballitos de batalla, lo que
los diferenció”, comenta Cejudo.
La cantidad de logs diarios a revisar por el
Departamento era uno de los mayores problemas.
Tenían una persona asignada especialmente a esta
tarea, que se dedicaba a revisar los logs de forma
manual. Aún así, ”no había un control al 100% como
se buscaba y la alternativa al control total era hacer
un muestreo. La regulación y no contar con la
herramienta adecuada nos obligaba a invertir
muchas horas hombre para cumplir con las
exigencias del Banco Central”, explica Cejudo y
continúa, “afortunadamente decidimos realizar este
proyecto con Barcelona/04, porque la nueva
regulación (4609) es aún más exigente.”
El equipo de Seguridad Informática de Banco
Industrial cumplía con el resguardo de la actividad
pero los controles no lograban reflejar todo lo que
estaba sucediendo. Una de las observaciones que el
Banco Central había marcado en el pasado fue que
no existía un reporte para el control de comandos
sensitivos. “Con la implementación de esta
herramienta pudimos resolver la observación”,
cuenta Cejudo y agrega, “que al tercer intento fallido
de ingreso se bloquee la password es algo que pide la
norma del Banco Central, y debe estar reflejado en
algún lado. Con Barcelona/04 lo podemos
documentar”.
El proyecto
Banco Industrial realizó un proyecto de
implementación de seguridad sobre Windows y
Linux. Conjuntamente, se trabajó sobre la
monitorización de las aplicaciones críticas,
transaccionales y de riesgo al ser datos sensibles y
confidenciales.
Algunas de estas aplicaciones son:
? SWIFT: Transacciones nacionales e internacionales
? MEP: Aplicación del Banco Central para
transferencias electrónicas
? SOI: Control diario del Banco Central
? Central Data: Consolidación de información que
luego se envía al Banco Central
? Contabi: Desarrollo propio del sistema contable
del Banco (base en SQL)
? Crédito sac: Créditos (jubilados y convenios)
? Títulos: Administración de transacciones de títulos
públicos y privados
? PRS: Desarrollo propio en Linux que opera cuentas
a la vista (cajas de ahorro, cuentas corrientes,
plazos fijos, clientes, créditos, entre otros)

12
 “Afortunadamente decidimos realizar
este proyecto con Barcelona/04,
porque la nueva regulación (4609) es
Lo que realiza VISUAL Security Suite
en estas aplicaciones críticas es la
monitorización de los archivos de log y la
notificación ante una eventual anormalidad.
“Tenemos un sistema de aviso vía email a nivel de
alarma, que tiene que ver con distintos tipos de
actividades de los sistemas y su seguridad, como
logueos de usuarios críticos, borrados de usuarios,
modificación de archivos”, explica Cejudo. Estas
alarmas son recibidas en tiempo real por el grupo
completo de Seguridad Informática a través del mail.
Beneficios: entre el aumento del control,
rendimiento y la confiabilidad
Entre los beneficios obtenidos, hoy el departamento
de Seguridad ahorra muchísimo tiempo y gana en
rendimiento. “Antes no se podía hacer un control
total e invertíamos muchísimas horas hombre. De
Windows había 200 páginas por día para controlar.
Se hacía análisis por muestreo”, explica Cejudo. Una
vez automatizado con VISUAL Security Suite, esto
cambió. “Hoy los reportes se hacen y se controlan al
100% en menos de una mañana”. Como marca de
este aumento de productividad en el área, las
personas que antes se ocupaban de mirar cientos de
reportes, ahora se pueden ocupar de otras tareas.
“Sobre todo, se gana en confiabilidad”.
Un control con registro: Los reportes
Banco Industrial además utiliza la solución de
Barcelona/04 para obtener los reportes necesarios.
Una vez impresos, sólo deben revisarlos ya que ahora
filtran sólo lo realmente crítico. Y luego se archivan
dejando todo listo para la visita del auditor. Cejudo
cuenta: “Tenemos ahora en una carpeta 3 o 4 meses,
donde antes entraba menos de un mes. Es muy
grande la diferencia y es mucho más lo que se puede
controlar. Es muy cómodo tener todo en la consola.
Cada vez que necesito algo, voy directamente a la
consola y lo busco ahí. No necesito andar revisando
papeles ni archivos”.
Las auditorías
Como toda institución bancaria,
Banco Industrial cumple con
regularizamos los puntos de la
aún más exigente.”
rigurosas auditorías.
Adicionalmente a la del
Banco Central, poseen una
auditoría externa y una interna. La
externa, efectuada por Deloitte & Co, se realiza
anualmente. Ésta informa al directorio de la
institución y también al Banco Central. La interna,
por su lado, tiene un plan donde incluye la
verificación de distintos temas. A su vez, se hace un
estudio para controlar que el plan que se armó en la
última revisión para cumplir con las observaciones,
se haya realizado.
Cejudo cuenta la experiencia de las últimas auditorías:
“Pudimos mostrarles la solución y lo que estábamos
haciendo. No tuvimos ninguna observación y
regularizamos los puntos de la auditoría anterior. Por
lo que podemos afirmar que tener implementado
Barcelona/04 ayudó también a resolver más
rápidamente los requerimientos de las auditorías”.
El día después
Cejudo remarca que al finalizar el proyecto, “quedó la
experiencia del aprendizaje”. Operan
independientemente y han modificado y agregado
filtros y reportes. “Por ejemplo, la última vez que vino
el Banco Central nos indicó un comando que para
nosotros no era sensible pero sí lo era para ellos y por
lo tanto había que controlarlo. Lo único que tuvimos
que hacer fue agregar un nuevo filtro en VISUAL
Security Suite. Sin necesidad de recurrir al soporte de
Barcelona/04”, cuenta Cejudo y concluye, “el nivel de
satisfacción de la herramienta es muy alto”.
Banco Industrial ya tiene planificado próximas etapas
del proyecto. “La próxima etapa con Barcelona/04 es
integrar las comunicaciones y algunas aplicaciones
que el banco está implementando en este momento”.
Así es como seguirán creciendo y manteniendo un
control en tiempo real, pasando las auditorías cada
vez con más eficacia y conservando el alto
nivel.
“No tuvimos ninguna
observación [de auditoría] y
auditoría anterior”