El banco más grande de Perú implementó Terraform y Vault de HashiCorp de la mano de su partner Orión, para acelerar la entrega de soluciones de banca digital a comunidades históricamente desatendidas.
Banco de Crédito del Perú (BCP), parte del Grupo Credicorp, es el mayor banco y proveedor de servicios financieros integrados del Perú. BCP ha sido el líder del sistema financiero del país durante los últimos 130 años, lo que la convierte en la marca más antigua y valiosa de Perú. Ha contribuido al desarrollo económico del país, transformando planes en realidad. Ofreciendo una amplia gama de productos y servicios bancarios a individuos, pequeñas y medianas organizaciones y clientes corporativos, así como a entidades gubernamentales, microprestamistas y agencias internacionales.
La automatización en los Andes
La banca ya no es lo que solía ser. Los días de los recibos de depósito en papel, las visitas al cajero y la emisión de cheques han pasado hace mucho tiempo, para la mayoría de las personas. En Perú, todavía hay un segmento significativo de la población sin acceso a servicios y soluciones bancarias modernas, y el Banco de Crédito del Perú (BCP) está emprendiendo una transformación digital masiva en un esfuerzo por cambiar eso.
“En el panorama competitivo actual, la entrega de nuevas aplicaciones y servicios que los clientes esperan es un asunto urgente”, dice Erika León-Ravinez, líder del equipo DevSecOps en BCP. “Nuestra infraestructura legada requería muchos procesos manuales, para todo, desde la gestión de servidores y sus datos confidenciales, hasta la implementación de nuevos servicios. Comenzamos una iniciativa de transformación digital masiva para que todo sucediera, pero nos dimos cuenta desde el principio de que necesitábamos una solución tecnológica eficiente, flexible y segura para que fuera un éxito”.
Los procesos manuales no son transformadores
Como muchas instituciones financieras, la infraestructura de TI legada de BCP se diseñó e implementó para una época y una era diferentes. Fue perfecta para ejecutar transacciones financieras de forma segura a lo largo de los años, pero a medida que el banco adoptó una mentalidad DevOps y adoptó sus mejores prácticas, el equipo de DevOps de BCP, León-Ravinez y arquitecto principal, Edwar Ponte: estaba bajo una directiva ejecutiva para reducir la entrega de infraestructura y los plazos de administración de credenciales de autenticación (denominadas secretos), para respaldar el tiempo de comercialización acelerado para nuevas aplicaciones y servicios orientados al cliente.
Una parte importante de este esfuerzo implicó la migración de gran parte de su infraestructura legada a la plataforma de nube pública principal del banco, junto con otros destinos locales. Pero implementar infraestructura híbrida en diferentes entornos, coordinar y conectar servicios y establecer los secretos de cada sistema interconectado resultó mucho más trabajo de lo previsto.
“Solíamos tener una combinación de procesos en su mayoría manuales y un poco de automatización en las diversas herramientas que usábamos para respaldar la infraestructura para cualquier aplicación nueva que quisiéramos construir en la nube”, dice Michael García, Product Owner de la plataforma de nube pública de BCP. “Cada equipo presentaba una necesidad tecnológica diferente, que incluía servicios de infraestructura, contenedores, datos y análisis en la nube, y significaba algo tan esencial como que el aprovisionamiento podía llevar días”.
Al mismo tiempo, la gestión de secretos, vital para autenticar el acceso a los espacios de trabajo confidenciales en la nube y a los datos confidenciales de los clientes, presentó desafíos aún más importantes que aumentaron la cantidad de incidentes y riesgos.
“Hace dos años, teníamos tres sistemas de administración de credenciales diferentes y cualquiera que los usara tenía que ingresar claves manualmente para autenticar a los usuarios para el entorno de producción”, dice León-Ravinez. “En algunos casos, incluso tuvimos que pasar la producción antes de que pudiéramos validar los secretos, lo que creaba errores e implicaba mucho tiempo extra y costos para solucionarlo. Afectando la disponibilidad para los clientes”.
Desafíos:
• Optimización de la implementación de servicios híbridos y en la nube
• Eliminación de la administración manual de secretos
• Acelerar las iniciativas de transformación digital y la entrega de servicios digitales orientados al cliente
Impulso, transformación, progreso
En BCP implementamos Terraform y Vault de HashiCorp, para optimizar y acelerar sus operaciones de administración de infraestructura y secretos. Después de una breve prueba de concepto frente a las herramientas de la competencia, la empresa eligió las soluciones de HashiCorp por su simplicidad y seguridad, así como por sus amplias capacidades multiplataforma para respaldar el movimiento del banco hacia un entorno de TI híbrido y de múltiples nubes.
“Con Terraform, estamos aprovisionando infraestructura que sigue las pautas de seguridad y operaciones del mismo mercado corporativo para controlar mejor la implementación de diferentes instancias de nube y espacios de trabajo sin estar encerrados en un solo proveedor de nube”, dice Michael García, Product Owner de la plataforma de nube pública de BCP. “Más importante aún, permite a cada desarrollador implementar su propia infraestructura, completar con las credenciales y certificados para aprovisionar secretos, todo desde el mismo lugar. Lo que solía tomar dos o tres días, ahora toma menos de una hora”.
A su vez con la edición Vault Enterprise, el equipo encontró controles de seguridad adecuados para cifrar todos los secretos, un mecanismo de autenticación sólido y proporcionar un proceso de recuperación ante desastres. Todos estos son pilares fundamentales de las operaciones de seguridad en BCP, y el uso de Vault mejora drásticamente su postura de seguridad.
“Vault ha reformado por completo nuestro enfoque de la gestión de secretos al eliminar la introducción manual de claves y reducir nuestros plazos de validación de una hora a unos pocos segundos. Eso tiene un gran impacto en nuestra productividad general y en el tiempo de comercialización de las aplicaciones que lo han adoptado”, afirma León-Ravinez. “También es clave para proteger los datos súper sensibles de los clientes dondequiera que vivan. Eso nos ayuda a cumplir con nuestros requisitos de cumplimiento, que siempre es una prioridad máxima”.
A través de este proyecto y de la mano de su partner Orión, se logró implementar satisfactoriamente en el ambiente productivo del banco la solución de Hashicorp que permitió al área de seguridad y COS controlar de forma centralizada y segura el acceso de aplicaciones/usuarios de los secretos en todo el proceso SDLC.
Resultados:
• Reducción del 96% en los tiempos de implementación de la infraestructura en la nube de 2 o 3 días a horas.
• Gestión automatizada de secretos, reduciendo los tiempos de validación de 1 hora a segundos.
• Eliminación de errores costosos y que consumen mucho tiempo debido a la gestión manual de datos
• Tiempo de comercialización acelerado de servicios al cliente de alta prioridad.
