Actualidad
Formación/Empleo

El reto de saber quién accede a qué en todo momento

Experiencias de CIOs con herramientas de gestión de identidades

Cualquier CIO debe conocer a la perfección a qué información y aplicaciones tienen acceso sus empleados de modo que si algún trabajador se marcha o cambia su rol pueda reaccionar a tiempo y modificar los privilegios o incluso eliminarlos, pues no son raros los casos de empresas en las que, a pesar de haberse ido hace tiempo, hay trabajadores que aún pueden entrar en la intranet corporativa. Situación que se evitaría implantando herramientas de gestión de identidades.

Las ventajas que proporciona para una empresa contar con una herramienta de gestión de identidades son amplias: desde la simplificación de los procesos de autenticación para el acceso a los sistemas de la compañía, hasta la posibilidad de gestionar de forma efectiva la identidad y los privilegios de acceso de los usuarios, incrementando los niveles de seguridad, alterados con el crecimiento del volumen de información experimentado en las organizaciones en los últimos años. Sin embargo, a pesar de que consultoras como IDC asegura que la complejidad de la gestión de procesos disminuye con una buena política de seguridad que incluya la gestión de identidades como un área, aún existen muchas empresas que no han implantado estas herramientas. Esto no sólo acarrea problemas de seguridad, sino de disminución de la productividad de los empleados del departamento de Tecnologías de la Información.

Reducir la complejidad
Una de las organizaciones que ha comprendido la importancia de la gestión de identidades es la Autoridad Portuaria de Barcelona. Su responsable de sistemas y comunicaciones, Francesc Bonada, revela que lo que motivó iniciar el proyecto fueron varias razones: “La primera responde a un problema de complejidad, pues la Autoridad Portuaria gestiona a 480 usuarios en 25 sistemas con aplicaciones diferentes, lo que da un resultado de 12.000 combinaciones posibles”. Otro motivo, según este, fue que el proceso de alta, baja y modificación de usuarios se realizaba por el especialista de la aplicación, cuando es una tarea que tiene que hacer el departamento de Help Desk. “El alta pasaba por múltiples administradores, lo que llevaba mucho tiempo y mayor probabilidad de errores. Además, el proceso de baja de usuarios también fallaba”.
Bonada asegura que dada la gran cantidad de sistemas y aplicaciones diferentes a integrar y a que el número de usuarios en cada uno de ellos podía ser muy diferente, se decidió que en los pliegos de especificaciones técnicas de la licitación se distinguiera entre sistemas prioritarios y secundarios. “Los primeros se debían integrar en una primera fase y los segundos serían opcionales en la oferta”. Así, la Autoridad Portuaria, tras valorar el coste de integración frente al beneficio que aportaría, decidiría su inclusión en el proyecto final. “Al analizar las ofertas recibidas –añade– se escogió la de Gedas y Novell, que es la que llegó más lejos en la implementación de las acciones necesarias para automatizar los procesos de altas y bajas de los sistemas prioritarios y secundarios. La decisión se tomó pensando en los sistemas actuales y en la capacidad del integrador y del producto para incorporar sistemas en el futuro”.
Las mayores dificultades en el desarrollo del proyecto se encontraron en la programación de las acciones necesarias en los procesos de alta y baja de usuarios en los distintos sistemas, que en muchos casos ha sido muy complejo. El coste total del proyecto ha sido de 149.000 euros, e incluye la gestión unificada de usuarios con la incorporación de los sistemas prioritarios, de una parte de los sistemas secundarios y un sistema de autenticación fuerte mediante tokens USB. Y su duración aproximada fue de 9 meses. “Gracias al proyecto se ha disminuido el volumen requerido en administración, se ha consolidado información de usuarios redundante o inconsistente, y se ha creado un método estándar de gestión de usuarios. Ahora es más fácil implementar y seguir las políticas corporativas de seguridad”. Asimismo, según el responsable, de cara al usuario se ha facilitado la gestión de su clave y el acceso a los sistemas y se prevé una reducción en el número de llamadas al servicio de Help Desk por incidencias de gestión de claves.
 
Sistematizar la administración de la seguridad
Manuel Martínez y Octavio Jiménez, responsables de Tecnología de Sistemas y Seguridad de Sistemas de Unión FENOSA, relatan que la selección de una herramienta de gestión de identidades la llevaron a cabo en otoño de 2003. “En septiembre de 2004 empezó la primera fase de implantación de la misma, en la que había que reconciliar los entornos seleccionados para ella, tener una visibilidad de estos, realizar una integración parcial con las herramientas propias de gestión de seguridad e implantar el proyecto integrado de seguridad”, señalan. En febrero de este año comenzó la segunda fase, consistente en la integración con el directorio activo de Microsoft y el cliente web de Lotus Notes. Se dejó para una tercera fase la integración de contraseñas, “por la repercusión que tiene para el usuario”. Esta integración y el autoservicio de contraseñas se ha puesto en marcha el pasado mes de mayo.
Los responsables aseguran que la idea de implantar esta herramienta surgió después de que la empresa energética implantara, entre 2002 y 2003, un directorio corporativo de seguridad. “Nos planteamos el proyecto con un objetivo menos ambicioso de lo habitual, pues se ha querido desligar la implantación de la herramienta de gestión de identidades de los aspectos organizativos de la seguridad lógica, pues queríamos una herramienta para integrar información de seguridad de los distintos entornos técnicos y para sistematizar la administración de la seguridad de dichos entornos, principalmente en temas de provisión”. Los responsables valoraron hacer un desarrollo propio, utilizar una estructura de metadirectorios o adquirir una de las dos herramientas disponibles en el mercado que reunían las características necesarias: Control-SA de BMC, incluido el módulo de gestión de contraseñas, y Tivoli Identity Manager de IBM. “Al final, optamos por la herramienta de IBM que se ajustaba más a nuestras necesidades y tenía mejor precio”. El planteamiento de gestión de identidades de la energética se centra en un conjunto de herramientas de seguridad que aportan desde la acreditación del usuario, a su autorización a través de distintas herramientas, algunas incluso de desarrollo propio, así como la gestión del control de acceso y la provisión a los distintos repositorios de seguridad. “La compañía no quería sustituir parte de ese entramado de seguridad, sino ocupar un espacio existente donde una herramienta de gestión de identidades podría aportar un mayor valor añadido”. Martínez y Jiménez añaden que, aunque costó más trabajo de lo que pensaban, con este proyecto definieron una arquitectura lógica de seguridad coherente y adaptada a sus necesidades. Eso sí, durante el proyecto se toparon con alguna dificultad, como la inexperiencia de los equipos de implantación y otros problemas de soporte”.
 
Proceso transparente
Fue hace cuatro años cuando Caixa L

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break