Hastings Direct implementa Zscaler Zero Trust Exchange para mejorar la experiencia digital de los seguros

Desde que vendió su primera póliza de seguros en 1997, Hastings Direct se ha comprometido a aprovechar las nuevas tecnologías para brindar la experiencia de compra de seguros más sencilla. En los últimos años, la compañía ha priorizado la transformación digital total. La migración total de las operaciones a la nube permitió la digitalización integral de todos los productos y servicios de Hastings, brindando en última instancia a sus clientes más opciones para comprar y administrar pólizas de seguros. 

La adopción de operaciones que priorizan la nube también inspiró a la empresa a modernizar su seguridad con una arquitectura Zero Trust. “Hastings está decidido a ser el mayor proveedor de seguros digitales del Reino Unido”, afirmó Simon Legg, director de seguridad de la información (CISO) de Hastings Direct. “No podemos alcanzar ese objetivo utilizando enfoques tradicionales de protección de datos y seguridad de la información. “Zero Trust es el camino a seguir”.

Una arquitectura de seguridad tradicional de castillo y foso no podía soportar adecuadamente la evolución digital de la empresa. Los problemas de escalabilidad y la rigidez inherentes a este tipo de enfoque de seguridad heredado crearon barreras para operaciones en la nube seguras y eficientes.

Hastings Direct quería una plataforma integral Zero Trust, nativa de la nube, que pudiera ayudar a retirar la infraestructura de seguridad heredada, simplificar la gestión de la seguridad y mejorar la postura de seguridad.

La integración fluida con Microsoft fue otro factor importante. La empresa utiliza exclusivamente Microsoft para sus operaciones empresariales centradas en la nube: Microsoft Azure para la infraestructura como servicio y Microsoft 365 para impulsar la productividad y la colaboración de los usuarios. Microsoft Entra ID, Azure Sentinel y Microsoft Defender for Endpoint también forman parte del ecosistema de seguridad de Hastings. 

Hastings Direct eligió Zscaler Zero Trust Exchange como base para su nueva arquitectura de seguridad Zero Trust. Una implementación gradual de la plataforma Zscaler permitió al equipo equilibrar los procesos cambiantes con la gestión de las experiencias de los usuarios, lo que resultó en una transición fluida hacia Zero Trust en toda la organización.

“La introducción de una nueva solución de seguridad conlleva inherentemente un cierto nivel de fricción”, compartió Legg. “En materia de seguridad, existe un equilibrio constante entre la fricción perjudicial y la fricción positiva. La fricción perjudicial frena la productividad organizacional. La buena fricción detiene a los malos actores. Zscaler nos ayuda a eliminar lo malo y amplificar lo bueno”.

En conjunto, casi 4500 empleados y socios externos brindan apoyo a 3,9 millones de asegurados en todo el Reino Unido. Permitir una conectividad segura y que permita trabajar desde cualquier lugar para esta fuerza laboral híbrida fue crucial para los objetivos digitales más amplios de la empresa. “Ofrecer una experiencia digital excepcional a nuestros colegas les permite garantizar una experiencia digital igualmente excepcional para nuestros clientes”, afirmó Legg.

Hastings Direct retiró un proxy de Internet heredado que ya no era adecuado para su propósito e implementó Zscaler Internet Access (ZIA) como su primera solución en Zero Trust Exchange. Como explicó Legg, asegurar la conectividad saliente como punto de partida para su transición a Zero Trust le permitió a la empresa "acertar con los aspectos básicos en términos de protección del acceso a Internet".

ZIA establece conexiones rápidas y directas a Internet y aplicaciones SaaS desde cualquier lugar. Debido a que Zscaler ofrece conectividad Zero Trust lo más cerca posible del usuario final, desde más de 150 ubicaciones perimetrales en todo el mundo, Hastings ya no necesita retransmitir el tráfico de Internet a centros de datos centrales. El resultado son menos puntos de estrangulamiento, menor latencia y una mejor experiencia de usuario al conectarse a recursos basados en la web.

Zero Trust Exchange también incluye funcionalidad para protección de firewall en la nube, filtrado de URL, inspección TLS/SSL y protección avanzada contra amenazas. Como resultado, importantes medidas de seguridad que antes habrían requerido múltiples productos puntuales ahora se implementan como partes de la plataforma integral de Zscaler.

“Confinar el trabajo a una oficina central representa una forma obsoleta de pensar en la productividad. “La gente quiere trabajar desde donde quiera”, compartió Legg. “Zscaler nos permite operar con libertad y flexibilidad en Hastings. Independientemente de cuándo o dónde nuestros colegas decidan trabajar, todos están protegidos por los mismos procesos Zero Trust al conectarse a Internet".

Después de simplificar y asegurar la conectividad saliente, Legg decidió centrarse en “generar confianza” entre colegas garantizando una experiencia de usuario positiva para la fuerza laboral de Hastings Direct.

Para lograr esto, Hastings Direct implementó Zscaler Digital Experience (ZDX). ZDX proporciona visibilidad de extremo a extremo desde el usuario hasta la aplicación, lo que significa que el equipo de TI de Hastings tiene una visión completa de las experiencias digitales en dispositivos, redes y aplicaciones. 

Con un análisis de causa raíz más profundo, impulsado por IA, para todos los desafíos de rendimiento, el equipo tarda menos tiempo en identificar y resolver los problemas. De hecho, los problemas de los usuarios a menudo se resuelven antes de que puedan afectar notablemente el flujo de trabajo. 

Legg cree que esta experiencia administrativa positiva posiciona a toda la comunidad tecnológica para ser mejores defensores de Zero Trust. "Mi equipo es testigo directo de cómo Zscaler protege el negocio sin interrumpir las actividades comerciales", afirmó Legg. "Realmente comprenden el poder de la plataforma Zscaler y están capacitados para ayudar al resto de nuestros colegas de Hastings a adoptar Zero Trust".

Los primeros pasos en su camino hacia Zero Trust (implementar ZIA y luego ZDX) fueron tan fluidos y sin complicaciones que Legg sospecha que la transición pasó en gran medida desapercibida. "El hecho de que tuviera que decirles a la mayoría de mis colegas que habíamos implementado una arquitectura de seguridad completamente nueva y una solución de monitoreo de experiencia digital y que ya estaban trabajando bajo protección Zero Trust con las soluciones ZIA y ZDX fue uno de nuestros mayores indicadores de éxito", recordó Legg.

Hastings Direct adopta un enfoque basado en datos para ofrecer productos de seguros altamente personalizados y competitivos, utilizando de manera responsable análisis avanzados de clientes para informar mejor las decisiones. 

Proteger las aplicaciones privadas esenciales (y los datos de los clientes dentro de ellas) de los ciberataques es uno de los mandatos más críticos para Legg, pero la arquitectura de seguridad heredada de la empresa lo convirtió en un desafío. Una solución VPN heredada con políticas de acceso generalizadas le impedía segmentar adecuadamente el acceso a aplicaciones basadas en roles, lo que ponía a toda la red en riesgo de movimiento lateral de amenazas. “Con nuestra migración a la nube, la superficie de ataque se volvió más compleja y más difícil de defender con soluciones heredadas”, confirmó Legg.

Hastings Direct reemplazó sus antiguos dispositivos VPN con Zscaler Private Access (ZPA), completando una poderosa trilogía de soluciones de la plataforma Zscaler (junto con ZIA y ZDX implementados previamente).

ZPA elimina la necesidad de VPN al permitir un acceso fluido Zero Trust directamente a aplicaciones privadas, no a la red. Además, estos recursos se ocultan tras Zero Trust Exchange y nunca se exponen a internet, lo que los hace invisibles a las amenazas y minimiza la superficie de ataque. La verificación de la identidad del usuario y la postura del dispositivo se analizan minuciosamente durante la inspección del tráfico en línea para ayudar a prevenir la vulneración antes de que se establezcan las conexiones entrantes. El acceso microsegmentado a las aplicaciones impide el movimiento lateral de amenazas, ya que los usuarios de Hastings se conectan directamente solo a los recursos que necesitan y a los que tienen autorización de acceso, no a la red en su conjunto. 

“Añadir el uso de ZPA a nuestra implementación de Zscaler le brindó una gran satisfacción a este CISO, ya que ya no tengo que preocuparme por clientes VPN distribuidos entre los dispositivos de mis colegas ni en nuestra red”, afirmó Legg. “Con las potentes capacidades de Zero Trust Exchange, Hastings ha consolidado un enfoque más integral para la seguridad Zero Trust”.

Hastings Direct ha aprovechado la plataforma multicliente Zscaler como parte de un catálogo deliberado de trabajo para optimizar agresivamente su entorno tecnológico.

Incluso con esta pila tecnológica mucho más ligera, la empresa ha logrado una postura de seguridad más sólida. En un trimestre reciente, Zscaler procesó 2500 millones de transacciones y 186 TB de tráfico para Hastings Direct, evitando 45 millones de infracciones de políticas y bloqueando más de 14000 amenazas de seguridad. Casi 4500 de estas amenazas estaban ocultas en el tráfico cifrado, donde las soluciones tradicionales que carecen de escalabilidad normalmente tienen dificultades para detectarlas.

Dado que las mitigaciones están automatizadas en Zero Trust Exchange, una mayor seguridad no equivale a una mayor sobrecarga administrativa. Al necesitar menos intervención humana, los empleados de TI de Hastings ya no sienten que están reaccionando constantemente a pequeños problemas y pueden concentrarse en otras prioridades estratégicas. 

Dado que mantener la seguridad holística Zero Trust es un proceso dinámico y evolutivo, Legg ya está considerando los próximos pasos para Hastings Direct. Ampliará el uso de la plataforma Zscaler y adoptará soluciones adicionales en los próximos meses. "La seguridad Zero Trust es un compromiso de por vida, no una actualización única", afirmó Legg. "Hoy tenemos mayor confianza en nuestra postura de seguridad, pero siempre estaremos preparándonos para los riesgos del mañana."

Zscaler Risk360™ se considera una solución que puede contribuir significativamente a la concienciación sobre los riesgos. Este completo marco de cuantificación y visualización proporciona una evaluación holística y enriquecida, basada en datos, de los principales factores de riesgo, lo que permite a los equipos de seguridad predecir problemas y eliminar las causas antes de que se produzcan efectos. Su amplia gama de funciones de generación de informes también ayuda a los equipos a comunicar sobre el ciberriesgo a un nivel menos técnico.

Proteger los datos analíticos de los clientes es una responsabilidad fundamental para Legg y su equipo. La adopción de Zscaler Data Protection se considera una posible forma de fortalecer las iniciativas de prevención de pérdida de datos (DLP), identificando información confidencial dondequiera que se encuentre y proporcionando una visibilidad clara de la exposición de datos en los sistemas de la empresa.

Las relaciones y la colaboración son fundamentales para todo en Hastings Direct. La cultura de la empresa se basa en lo que llama “las 4 C: colegas, clientes, empresa y comunidad” y el ciclo simbiótico que representan. Los colegas que se sienten apoyados y empoderados ayudan a deleitar a los clientes leales; los clientes leales impulsan el éxito de la empresa; las empresas exitosas pueden invertir más en las comunidades que las rodean. “Nuestros colegas ayudan a impulsar el crecimiento, por lo que nuestro objetivo es brindarles el apoyo y los recursos que necesitan para lograrlo”, explicó Legg.

"La asociación con Zscaler ha sido fundamental para ayudar a Hastings Direct a lograr su objetivo de ser la aseguradora digital más innovadora del Reino Unido", reflexionó Legg. Protegidos por Zero Trust Exchange, nuestros colegas pueden operar con mayor agilidad y seguridad mientras continúan trazando un nuevo rumbo en los mercados de seguros digitales.