Superintendencia de Bancos de República Dominicana crea bienestar digital para usuarios mientras avanza en su proyecto de seguridad con Azure.

Un plan de ciberseguridad basado en tres estrategias

• Seguridad eficiente: Mediante la autenticación sin contraseña y la autenticación de múltiples factores.
• Protección de datos: Un proceso que busca crear todas las condiciones para que los usuarios puedan hacer tagging de los documentos y de los correos.
• Analítica: Para poder resolver problemas proactivamente, no solo de seguridad e información, sino también respecto a la experiencia de usuario.

Implementación

Al iniciar el proyecto, se creó un grupo piloto de 50 usuarios, a quienes que se les suministró diferentes dispositivos de Windows Hello for Business, empezando por aprender a usar las huellas digitales y el PIN. A partir de allí, se fueron generando las configuraciones para los dispositivos móviles. 

Tras nueve meses del proyecto piloto, la Superintendencia se planteó replicar su proyecto de ciberseguridad en cinco fases de instrucción para 700 usuarios. “Se les compartió un correo a los usuarios explicándoles cómo funciona, cuáles son los métodos de autenticación, y en qué momento el departamento de TI integraría el dispositivo móvil a su cuenta de Microsoft”, explica Pujols.

Todos los caminos llevan a Zero Trust

Las entidades financieras actuales necesitan un nuevo modelo de seguridad que se adapte de forma eficaz a la complejidad del entorno moderno, que abarque el lugar de trabajo híbrido y que proteja a las personas, los dispositivos, las aplicaciones y los datos, dondequiera que se encuentren. Por eso, para la Superintendencia, todos los caminos llevaban a la implementación de un proyecto de seguridad de Zero Trust. Al respecto, Pichardo destaca: “Vimos que teníamos que dar un paso evolutivo hacia una realidad de bienestar digital, donde el usuario vea la seguridad como una aliada que le facilita la vida y no como un impedimento.”

El esquema general de Zero Trust no se basa únicamente en contraseñas para ingresar a Windows, sino que consiste en un servidor para todos los recursos de red internos. Por ejemplo, si se accede a un sistema operativo distinto al de Windows y detrás de este hay un firewall, la Superintendencia utilizará la arquitectura de Zero Trust para dar acceso a los administradores detrás del firewall. Tanto la red, como las aplicaciones y la información, están controladas por todo el esquema de Zero Trust de Microsoft. “No importa qué dispositivo, qué datos o cuál región de la red, este servidor de política centralizado está diseñado para evaluar la postura del usuario y si cumple con los requerimientos de acceso”.

Ser un referente presente y futuro

La entidad regulatoria busca poder consolidarse completamente como un organismo con autenticación sin contraseña. “Queremos llegar a ser totalmente passwordless en todos los aplicativos, es decir, quitar la contraseña del GPO y eliminarlas del dominio”, manifiesta Pujols, a propósito de las aspiraciones que tiene la Superintendencia, de cara al futuro.

Además de contemplar a Microsoft como estructura de gobernanza para las métricas de ciberseguridad, la Superintendencia implementó mejores prácticas a nivel técnico en cuanto a la administración moderna y la autenticación sin contraseña.

También, ha desarrollado ProUsuario Digital, su aplicación central de negocio que atiende las consultas, denuncias y reclamaciones que presentan los usuarios de las entidades financieras y demás organismos regulados por la Superintendencia de Bancos. Para su construcción y la de otras aplicaciones internas, fue necesario que los equipos de desarrolladores se conectaran con el sistema de gestión de Microsoft.

Estos esfuerzos apoyan la visión del organismo supervisor, que es ser una institución gubernamental ejemplar en República Dominicana. “Buscamos convertirnos de principio a fin en un caso de éxito de Zero Trust que sirva de referencia para el resto de las entidades bancarias”, concluye Pichardo.