En el último día de 2019, gran parte de la población mundial dejó de lado sus problemas para una noche de celebración. Los primeros casos de covid-19 habían comenzado a aparecer y la ansiedad se propagaba más rápido que la enfermedad misma, pero aún era la víspera de Año Nuevo.
No fue así en Travelex. El Covid-19 era la menor de las preocupaciones del cambio de divisas. A medida que el año llegaba a su fin, experimentaría un gran ciberataque que paralizaría su negocio.
La operación de ransomware como servicio REvil irrumpió en sus sistemas, lo que obligó a Travelex a cerrar sus sitios web en 30 países con la esperanza de que al hacerlo contuviera el virus y protegiera sus datos.
REvil afirmó haber descargado alrededor de 5 GB de datos confidenciales de clientes, incluidas fechas de nacimiento, información de tarjetas de crédito y números de seguro nacional, y exigió que Travelex pagara 6 millones de dólares para su rescate.
Según se informó, Travelex negoció la tarifa hasta alrededor de 2,3 millones de dólares en Bitcoin, pero en agosto de 2020, la empresa entró en administración debido a sus deudas y nombró a PricewaterhouseCoopers Ltd (PwC) para sus múltiples subsidiarias.
Hasta ahora, esto suena como la historia de la caída de una empresa. En este punto, se convierte en una historia de cómo una configuración de TI modificada salvó a la organización de la devastación total.
Emergiendo de las cenizas
PwC reestructuró la deuda y gestionó un acuerdo que proporcionó a la empresa 84 millones de libras (105 millones de dólares) de nueva financiación, salvó miles de puestos de trabajo e impulsó el plan de la empresa de trasladarse a la nube.
“Ya teníamos algunos planes en 2019 para pasar a la nube, pero no eran realmente consistentes y faltaba la historia general. No sabíamos cuál era realmente la ambición de North Star”, admitió Hans van der Waal, director global de TI de Travelex. “Anteriormente, nuestra huella de TI estaba bastante dispersa por todas partes y no se ejecutaba tan bien”.
“Cuando comenzó 2019, estábamos a punto de comenzar algunas actividades nuevas y resolver las cosas, pero llegó el Covid y tuvo un efecto de deterioro en nuestro negocio. Travelex depende mucho de las personas que viajan y, como puede imaginar, eso fue bastante limitado en 2019, 2020 y 2021. Pero esto nos dio una ventana, después del incidente cibernético, para realmente resolver las cosas y posicionar nuestra estrategia de una manera a reducir costos."
En el momento del ataque, Travelex funcionaba desde centros de datos empresariales repartidos por todo el mundo y, a medida que la empresa seguía creciendo, estos se convirtieron en una red innecesariamente complicada de cables, datos y procesos.
La empresa tenía tres pares de centros de datos en tres continentes. Ahora, todo lo que queda son dos centros de datos, una instalación empresarial en el Reino Unido y un centro de datos de colocación en Sydney, Australia, que respaldan las redes de la empresa, los archivos compartidos más antiguos, las soluciones de telefonía y las aplicaciones heredadas que se retirarán.
“Históricamente, la empresa se basó en soluciones muy localizadas. El equipo en Asia tenía su propio sistema desarrollado, y nuevamente en el Reino Unido o Europa. Pero luego las cosas se incorporaron a través de adquisiciones y finalmente tuvimos un estado de TI muy complejo con mucha superposición.
“Si quisiéramos cambiar algo, por ejemplo, cómo hacemos una verificación de cumplimiento, debería replicarse en varios lugares cada vez”.
Finalmente, se decidió que un sistema centralizado tenía mucho más sentido y Travelex comenzó el proceso de migración a la nube. En este caso, optaron por utilizar Amazon Web Services (AWS).
Para dar el paso, Travelex tuvo que revisar todos los sistemas, eliminar los que estaban duplicados, encontrar los que se podían retirar y los que se podían transformar en aplicaciones, y comenzar a hacerlos compatibles con la nube.
“Básicamente hicimos una racionalización”, explicó van der Waal. En este punto, alrededor del 90 por ciento de los sistemas empresariales de Travelex ahora se han trasladado a Amazon Web Services (AWS) y, por supuesto, Travelex ha empleado las soluciones de seguridad más altas que ofrece AWS.
“Queríamos transformar CapEx en OpEx, mientras hacíamos las cosas más abiertas e integrables. Definitivamente mejoramos nuestra postura de riesgo al hacer estos cambios”.
Sin embargo, el proceso no fue barato. Los sistemas heredados que Travelex trasladó a la nube no se diseñaron de forma nativa en la nube, por lo que ha sido costoso migrarlos y su consumo sigue siendo alto. Pero, en general, fue la estrategia más rentable.
Para hacer esto, Travelex tuvo que tomar una copia completa, cargarla y probarla en la nube, reconfigurar las conexiones y enlaces en todo el estado y luego cerrar la aplicación en las instalaciones. Puede parecer un proceso simple, pero vino con libros de ejecución detallados que requerían que la empresa siguiera pruebas muy específicas.
Migrar el legado también
Travelex comenzó con los entornos de menor uso y, a medida que se sintieron más cómodos con el proceso, comenzaron a migrar las cargas de trabajo de producción. En total, Travelex realizó alrededor de 30 traslados en un año.
Una proporción clave de la TI de Travelex permanece en las instalaciones o en los sitios de colocación de la empresa. Un ejemplo son los datos de la industria de tarjetas de pago (PCI): el estándar de seguridad de datos de la industria de tarjetas de pago se aplica a todas las principales marcas de tarjetas y tiene seis categorías de requisitos de cumplimiento: construir y mantener una red y sistemas seguros, proteger los datos del titular de la tarjeta, mantener una vulnerabilidad programa de gestión, monitorear y probar regularmente las redes, y mantener una política de seguridad de la información.
Si bien Travelex hace esto en las instalaciones, van der Waal dice que podría hacerse en la nube, aunque señala que sería esencial que "se tomen medidas adicionales".
En otros casos, el paso a la nube se complicó por los requisitos normativos. La empresa experimentó problemas particulares en China.
La Comisión Reguladora de Banca y Seguros de China (CBIRC, por sus siglas en inglés) requiere que los proveedores de la nube acepten informes regulares sobre los servicios para el banco, cualquier emergencia requiere cooperación con las investigaciones de CBIRC, estricta confidencialidad del cliente y el proveedor de servicios no debe realizar actividades en nombre del banco.
Travelex tuvo que equilibrar estos requisitos con tener el nivel de latencia necesario para ejecutar las operaciones.
“Los reguladores son en sí mismos un problema”, explica van der Waal. “Las regulaciones en China son bastante estrictas y tenemos una operación en China, por lo que alojamos ese negocio en un Data Center chino. Movimos parte de esto a la nube con AWS, pero los diseños iniciales no cumplían con las regulaciones relacionadas con la protección de datos y como pagamos los requisitos en la ubicación de China. Logramos encontrar puntos de control de proveedores de red y un diseño que funcionaría desde una perspectiva de rendimiento, costo y seguridad mientras cumplía con las regulaciones”.
Si bien el ataque cibernético no fue el único motivador para el cambio de Travelex a un enfoque de TI híbrido basado en la nube, sí jugó un papel importante. Pero es importante tener en cuenta que la nube no es una opción inherentemente más segura. No se trata de dónde almacena los datos, sino de cómo los protege.
En la nube, la seguridad es compartida
Ariel Parnes, cofundador y director de operaciones de Mitiga, una empresa de seguridad cibernética específica para la nube, habló con DCD sobre la realidad de los ataques cibernéticos. Como alguien que pasó 23 años trabajando para el Estado de Israel y ejecutando ciberinvasiones sancionadas por el estado, Parnes tiene mucha experiencia tanto del lado de quienes intentan proteger los datos como del individuo que intenta obtener acceso a ellos.
“Es una competencia constante entre el atacante y el defensor, y nunca terminará”, dijo Parnes.
“Con un entorno local, el perímetro es muy claro. Sabes dónde comienza y termina, y eres el dueño de ese entorno en todo momento. En el caso de un ataque cibernético, enviaría un equipo a buscar las huellas digitales que quedaron para comprender qué sucedió, cómo ese ataque afectó su software, firewall, EDR, etc.
“Pero cuando estás en la nube, compartes la responsabilidad. Parte de la responsabilidad recae en Amazon para asegurarse de que su entorno sea seguro. No eres dueño de tus datos de la misma manera en este caso: Amazon es dueño de tus datos: las huellas dactilares, la telemetría, los datos forenses. Entonces, para investigar estos ataques, debe haber preparado su relación con ese proveedor, o estará manejando la situación con los ojos cerrados”.
Según Parnes, lo que el debate on-prem/colo/cloud no resuelve es el hecho de que el 80 por ciento de los ciberataques se deben a una mala configuración o, como él dice, “tu casa se construyó mal y dejaste la puerta abierta. ” En última instancia, si se traslada a la nube y configura incorrectamente su entorno, sigue siendo responsable de ello.
Parnes puede estar sesgado, pero cree que, en última instancia, un cambio a la nube mejorará la seguridad a largo plazo.
“En general, la tecnología está yendo hacia esa tendencia [y cambiando a la nube]. La nube también aporta flexibilidad a la recuperación. Después de un ataque local, a veces necesitará comprar nuevo hardware e instalarlo, mientras que en la nube, todo es virtual y se puede recuperar con solo presionar un botón”.
Vivo, pero cambiado
Travelex tiene que garantizar la seguridad tanto dentro como fuera de las instalaciones. “En las instalaciones, la seguridad principal se proporciona a través de firewalls en el centro de datos que está segmentado hasta cierto punto”, explicó van der Waal.
Más allá de eso, AWS ofreció a la empresa herramientas de seguridad adicionales y registro como servicio para que la empresa no tuviera que invertir ni implementar herramientas locales adicionales. Si bien no se compartió la calibración exacta, van der Waal ofreció AWS Security Groups como ejemplo y explicó que permitía a la empresa implementar la microsegmentación en todo el estado y a través de la infraestructura como código (IaC).
Más que nada, lograr la configuración de TI híbrida fue un esfuerzo de colaboración para Travelex. La compañía enfrentó una pandemia y un rescate multimillonario y aún así salió del otro lado, viva y respirando pero diferente.
Y, según van der Waal, la empresa no tiene planes de volver atrás.