¿Cómo un líder de la industria metalúrgica uniformizó su política de acceso?

Estudio de Caso Visual Guard

La Empresa

El líder mundial de la industria metalúrgica asegura sus fábricas del mundo entero.

Esta prestigiosa corporación comenzó como una empresa familiar en Estados Unidos. En el transcurso de su historia, la empresa supo desarrollar y conquistar nuevos mercados, implementando en todo momento las mejores técnicas de producción.
Este crecimiento se acompañó de fusiones y adquisiciones con otros líderes mundiales.
Hoy en día, el grupo está presente en más de 30 países y emplea a más de 60 000 personas en 200 sitios.
El crecimiento del grupo requirió una armonización de los procedimientos de producción a todos los niveles.
Uno de los últimos campos a armonizar era la seguridad de los sistemas informáticos.

La necesidad

El departamento de producción engloba 30 fábricas en todo el mundo. Cada fábrica emplea alrededor de 100 personas. Las fábricas están repartidas en 4 regiones: Estados Unidos, Australia, Brazil y Canadá.

Cada región había puesto en práctica su propio sistema de control de acceso. Con el tiempo, se produjo una superposición de los sistemas:
- Una de las regiones utlizaba grupos del Active Directory para controlar las opciones del menú.
- La otra se basaba en Authorization Manager (AzMan) y había puesto en práctica un control de acceso basado en roles (RBAC)
- Las dos otras regiones habían establecido soluciones internas, las cuales también estaban basadas en el concepto RBAC.

Por lo tanto, el trabajo se hacía cuatro veces en lugar de una, provocando una importante pérdida de productividad.
La multiplicación de las reglas de seguridad hacía que el control fuera imposible.
El mantenimiento era increiblemente pesado, debido a la dificultad de hacer evolucionar la seguridad cotidiana.
La multiplicación de los sistemas hacía la seguridad muy poco transparente.

Además, los diferentes sistemas no permitían establecer permisos suficientemente detallados para responder a las necesidades reales de cada fábrica.

Escoger una solución

Esta situación obligó a nuestro cliente a establecer un comité encargado de uniformizar el sistema de control de acceso para toda la división de producción.
Después de un profundo estudio del mercado, nuestro cliente escogió Visual Guard. Ante todo, se debía respetar la estructura existente en cada región para que al momento de uniformizar, se provoca el menor número de cambios posibles.

Cada una de las cuatro regiones instaló la versión de evaluación con la ayuda de los equipos de Novalys, para validar la solución en cada ambiente. “Todos quedamos muy impresionados con el trial”, declara el responsable de América del Norte. “La facilidad con la cual el producto es integrado en una aplicación es impresionante (creo que solamente se trataba de 3 líneas de código). Me dí cuenta que esta herramienta sería muy útil en nuestros sistemas”.

Se necesitaba una solución que brindara una solución uniforme de autenticación. Además, esta autenticación debía ser también lo más ligera posible para los usuarios, para así limitar la multiplicación de las contraseñas.
Visual Guard permite reutilizar las cuentas o los grupos Windos guardados en el Active Directory. Un asistente nativo permite declarar un número ilimitado de cuentas en la consola de administración en una sola vez.
Todos los empleados poseían una cuenta Windows. Esto permitió reutilizar las cuentas existentes, sin ningún esfuerzo suplementario. Además, esto permitió establecer de manera automática el Single Sing-On de Windows (Autenticación Unica) para la totalidad de aplicaciones del departamento.

Por otra parte, se debía estandarizar la organización de los derechos de todo el departamento.
La consola de Visual Guard provee un sistema de roles y de permisos. Los mismos son definidos de manera centralizada, enseguida desplegados en cada fábrica. De esta manera, los derechos de acceso fueron uniformizados y gestionados en un único lugar centralizado. Lo anterior simplificó y aligeró el mantenimiento de manera muy importante.
La herramienta nativa de despliegue de Visual Guard ofrece diferentes opciones de despliegue de la seguridad. Lo cual permite una gran flexibilidad de adaptación en la organización del ciclo de vida de la seguridad. En el caso de nuestro cliente, la uniformización debía conservar una parte de autonomía a cada fábrica. La herramienta otorga esta flexibilidad y garantiza la autonomía de los equipos en el campo.

En comparación con todas las otras soluciones previstas, Visual Guard permite una mejora de productividad sin precedentes. En efecto, la tecnología de Dynamic Permissions (permisos dinámicos) permite definir los permisos en unos cuantos clics dentro de un módulo, sin necesidad de añadir código alguno a las aplicaciones. Estos permisos son aplicados de manera dinámica, mientras que la aplicación está en producción.

La capacidad de rastrear cualquier evento de la aplicación, fue también un factor importante al escoger Visual Guard. Las reglamentaciones de auditoría se multiplican, por lo tanto se necesita tener una visión global de quién hace qué en cada fábrica. A partir de la consola de administración de Visual Guard, las interfaces dedicadas permiten consultar quién dio un permiso, quién hizo qué en las aplicaciones, o generar reportes de la totalidad de las reglas de seguridad.

Finalmente, la facilidad de gestión de la seguridad para los administradores era un punto vital: un vez que las reglas fueran definidas, cada responsable de fábrica debría ser autónomo en la administración cotidiana de los usuarios y de sus derechos. En este punto Visual Guard también ofrece una gran flexibilidad. En función del nivel técnico de los admnistradores, estos pueden, ya sea utilizar la consola Winform, que permite efectuar las acciones cotidianas y las acciones un poco más técnicas, o la consola Web, destinada exclusivamente a la administración de las identitades llevadas a cabo por personas no técnicas. Visual Guard pone también a disposición un gran número d’APIs que dan la posibilidad de crear formularios de administración totalmente personalizables cuando es necesario.

Una puesta en práctica progresiva

Para el departamento de producción, era necesario hacer una despliegue por etapas. Cada región posee su ritmo de producción el cual debía ser respetado. La puesta en marcha progresiva permitió hacer una profunda transferencia de conocimientos con el equipo de Canadá. Esta cercana colaboración con los equipos de Novalys permitió analizar de manera detallada la arquitectura y la estructura organizacional del departamento.
Nuestro equipo pudo así tomar en cuenta una a una las especificaciones tecnológicas del cliente.
Una vez que los primeros sitios fueron puestos en producción, la formación y la implementación se lanzaron en Brazil y en Australia. El mismo proceso establecido anteriormente se llevó a cabo, permitiendo asegurar las aplicaciones del cliente.

Los resultados

La integración con el Active Directory permitió uniformizar la autenticación de las cuatro regiones de manera totalmente transparente para los usuarios. Los mismos ya no están obligados a usar sus antiguas contraseñas.
Desde un punto de vista técnico, la integración extremadamente ligera de Visual Guard facilitó esta tarea para los equipos de las quatro regiones, no importando la diversidad de los sistemas existentes. La presencia de los equipos de Novalys y el soporte técnico, la formación y el análisis de las necesidades fueron determinantes en el proceso.
Además, la gestión de los derechos proveída por Visual Guard, con permisos dinámicos, roles centralizados y despligue flexible, permitió establecer la administración centralizada de los derechos conservando una gran autonomía de los equipos en el terreno.
Finalmente, las herramientas de administración de las identidades permiten simplificar considerablemente el trabajo de los admnistradores sobre cada sitio, independientemente de su nivel técnico.