Caridad en bicicleta y caminar Sustrans ha contratado a Qualys para mejorar su postura de seguridad general a través de un despliegue de su Plataforma en la nube servicio, lo que le permite presentar una oferta por más trabajo gubernamental para apoyar su agenda en torno al transporte sostenible y sin automóviles.
Con más de 40 años de promoción de políticas de transporte a sus espaldas, Sustrans ahora emplea a 500 personas en múltiples ubicaciones en el Reino Unido, administrando una red de voluntarios para construir y mantener una infraestructura amigable para peatones y ciclistas, e interactuar con los tomadores de decisiones en torno a la planificación e inversión .
Pero para asegurar un contrato gubernamental importante para apoyar el ciclismo y la caminata, la organización necesitaba alinearse rápidamente con los requisitos de seguridad del gobierno y, específicamente, lograr el cumplimiento con el Centro Nacional de Seguridad Cibernética (NCSC). Cyber Essentials marca de cometa.
La certificación Cyber Essentials respaldada por el gobierno está diseñada para darles a sus titulares la tranquilidad de que su organización puede resistir las variedades más comunes de ataques cibernéticos y amenazas de seguridad y es cada vez más un requisito para trabajar en contratos gubernamentales.
“Muchos de nuestros empleados trabajan codo con codo con empleados del gobierno local y nacional en todo el Reino Unido”, dijo Lyndsey Melling, gerente de proyectos de sistemas y TI en Sustrans. “Debido a que colaboramos estrechamente en los proyectos, es vital que cumplamos con los últimos requisitos de contratación y adquisiciones gubernamentales.
“Necesitábamos obtener la acreditación Cyber Essentials en solo tres meses, o correr el riesgo de perdernos un importante programa de trabajo de varios años.
“Uno de los requisitos clave de Cyber Essentials es la capacidad de identificar y remediar posibles vulnerabilidades de seguridad de manera oportuna. Sabíamos que nuestro enfoque manual existente para la gestión de vulnerabilidades no podría cumplir con los requisitos de Cyber Essentials, por lo que decidimos buscar una nueva solución «.
Con un resumen que incluye el rápido cumplimiento de los estándares gubernamentales en torno al análisis de amenazas externas e internas; detección y reparación rápida y precisa de vulnerabilidades, preferiblemente con cierto grado de automatización; y capacidades de gestión de vulnerabilidades de clase empresarial a través de un modelo de suscripción basado en la nube para mantener bajos los costos, Sustrans eligió la plataforma en la nube de Qualys como base después de una breve evaluación.
En particular, el servicio cumplió con los requisitos de la organización benéfica en cuanto a velocidad, capacidad de respuesta y costos, dijo Melling.
Sustrans primero configuró la plataforma para descubrir sus activos conectados a la red y agregó las opciones de administración de vulnerabilidades y escaneo de aplicaciones web de Qualys para comenzar un programa de escaneo de vulnerabilidades, que ahora puede ofrecer análisis en más de 1100 terminales de la organización. Esto causó algunos problemas al principio con la sobrecarga de la red, pero se resolvió rápidamente con la adición de un escáner ligero de Cloud Agent.
El gran volumen de vulnerabilidades detectadas con los escaneos iniciales de Cloud Platform llevó a Melling a ir más allá, agregando Patch Management de Qualys para automatizar el proceso de parcheo.
“En tan solo un par de semanas, habíamos utilizado con éxito Qualys Patch Management para remediar dos tercios de esas vulnerabilidades, de las cuales más de la mitad tenían el nivel más alto de gravedad, un resultado extremadamente positivo”, dijo.
Melling dijo que la aplicación de parches de esta manera facilita la seguridad de los usuarios de Sustrans, incluso los trabajadores remotos que se conectan completamente a la red de la organización solo de forma intermitente.
“Mejor aún, la aplicación de parches ha sido completamente transparente para el usuario final, lo que significa que nuestra gente puede continuar con su trabajo mientras el proceso se ejecuta en segundo plano”, dijo. “En el futuro, creemos que mantenerse al tanto de las últimas vulnerabilidades solo requerirá unas pocas horas de trabajo cada semana. Como resultado, seremos capaces de proteger nuestro medio ambiente de los riesgos cibernéticos mientras mantenemos constante nuestro personal de seguridad de TI «.
Melling acredita la adopción total del servicio Qualys por haber logrado su objetivo de acreditación Cyber Essentials en un plazo ajustado de tres meses. La organización benéfica ahora se está preparando para trabajar en un contrato de varios años para extender a miles los beneficios sociales y de salud del ciclismo y la caminata.
“Cumplir con los requisitos de Cyber Essentials fue absolutamente esencial para ganar este importante contrato, y eso es exactamente lo que Qualys nos ayudó a lograr”, dijo Melling.
«A pesar de que la crisis de Covid-19 golpeó justo al comienzo de nuestro compromiso con Qualys, el equipo hizo todo lo posible para ayudarnos a obtener las capacidades que necesitábamos a tiempo y dentro del presupuesto».