Centralizar todos los aspectos de seguridad, para todas las tecnologías, en una sola solución.

Estudio de Caso Visual Guard

La empresa

Nuestro cliente es una empresa de seguros de talla internacional. La misma emplea a más de 700 personas en el mundo entero, principalemente en Estados Unidos, en Canada, en el Reino Unido, en Australia, en Suiza y en Singapur.

En los últimos 8 años, nuestro cliente ha crecido de manera exponencial: aumento constante de los ingresos, desarrollo de actividades a nivel internacional, cotización en la bolsa. En poco tiempo, esta empresa llegó a ser un actor reconocido en el mundo de los seguros. Como toda empresa multinacional, nuestro cliente debe hacer cara a numerosos desafíos de la globalización y del crecimiento de sus estructuras. La seguridad informática es uno de esos desafíos.

La paradoja es muy conocida: Cómo hacer circular cada vez mayor información, de manera simple e intuitiva, para favorecer el desarrollo de los negocios, garantizando un nivel de seguridad óptimo que haga cara a los repetidos ataques contra la información confidencial?

Este problema es aún más sensible puesto que el sector de los seguros exige la manipulación de informaciones altamente confidenciales. En este contexto, una brecha de seguridad es impensable.

La necesidad

En lo que concierne la seguridad, la empresa había, a través de los años, metido en práctica varias herramientas que respondían a sus necesidades de seguridad:
- Mecanismos de autenticación de usuarios,
- Sistemas de creación y gestión de los derechos,
- Sistemas de gestión de identidades y de contraseñas,
- Procesos de control y auditoría…

Cada una de estas necesidades estaba cubierta por diferentes sistemas y duplicadas para cada nueva aplicación, o nueva tecnología utilizada de manera interna en el grupo.

La multiplicación de sistemas y la dispersión de la información impedían tener una visión clara de la política de seguridad, así como escondían ciertas fallas. La empresa deseaba poner en práctica un sistema de control de acceso uniforme para estandarizar los procesos de seguridad. « Una iniciativa a nivel corporativo » explica el responsable de seguridad. « Todas las acciones de seguridad deben estar centralizadas en un solo lugar ».

Escoger una opción

Visual Guard fué escogido después de un análisis de las soluciones de seguridad propuestas en el mercado. El punto determinante fué la capacidad de Visual Guard para centralizar todos los aspectos del control de acceso en una sola solución: autenticación, gestión de derechos, administración de los usuarios, auditoría: un solo sistema concentra la totalidad de las necesidade de seguridad. “Buscábamos una solución todo en uno » Indica el responsable de seguridad.
Además, Visual Guard ofrece un método multi-tecnologías que te permite asegurar todas las aplicaciones no importando la tecnología usada. Para responder a las necesidades de nuestro cliente, empezamos por asegurar todas las aplicaciones basadas en .NET, a las cuales Visual Guard se integró perfectamente: Winforms, Webforms, ASP.NET, Web services, WCF, WPF,…
La etapa siguiente fué asegurar las aplicaciones Java de nuestro cliente. En este caso, el módulo VGServer, basado en servicios web, fué utilizado. Este módulo hace que las funcionalidades de Visual Guard estén disponibles para toda aquella aplicación que sea capaz de hacer una consulta SOAP o http. La empresa tuvo así la capacidad de asegurar cada una de las aplicaciones de su portafolio en un solo y único sistema.

El VGServer permite también cubrir el caso de los sitios distantes, lo cual es necesario para poder deplegar la seguridad en todas las filiales de la empresa.

La homologación de los procesos

Las herramientas de administración fueron determinantes para responder a las necesidades de nuestro cliente. “La mayor ventaja para nosotros es tener una herramienta centralizada para gestionar la autenticación y los permisos para toda la empresa », explica el responsable de seguridad. La consola de administración es la interfaz que permite administrar todos los aspectos de la seguridad: autenticación, administración de los usuarios, creación y administración diaria de los permisos, auditoría…

 « Gracias a la consola de Visual Guard y a sus diferentes roles, era muy fácil poder confiar la creación y la administración de los roles a los administradores funcionales. Lo cual permite una buena repartición de tareas entre el equipo de desarrollo y el de la administración » añade el responsable de seguridad. En efecto, es posible controlar el acceso a las funcionalidades de Visual Guard, y por ejemplo, confiar la gestión de las identidades a los responsables de los departamentos.

La consola Web, la cual será implementada próximamente, va mucho más lejos: ella está exclusivamente destinada a los admnistradores no técnicos, y puede ser utilizada donde sea con una simple conexión a internet. Lo anterior es una ventaja significativa para la empresa, la cual cuenta con filiales en más de 6 países en todo el mundo.

En lo que se refiere a la autenticación, la empresa debía administrar al mismo tiempo los usuarios internos y los usuarios externos.
Los usuarios internos debían ser autenticados con su cuenta Windows. Visual Guard otorga una integración automática con el Active Directory. Las cuentas y los grupos Windows fueron utilizadas para accedeer a todas las aplicaciones aseguradas con Visual Guard.  
Para los usuarios externos, se crearon cuentas nombre/contraseña con el provedor de cuentas de Visual Guard.

Al final, el objetivo fue alcanzado:
Una misma aplicación puede ser usada con los dos tipos de cuentas (Active Directory y cuentas de Visual Guard, se tiene una autenticación mixta).
Todas las cuentas son administradas en una sola y misma consola.
Un administrador no técnico puede atribuir los roles a los dos tipos de cuentas desde una misma consola.
El uso de cuentas Windows permite la implementación del Single Sign-On (autenticación única), lo cual mejora la experiencia de los empleados.

Nuestro cliente deseaba también uniformisar el sistema de roles y de permisos en todo el grupo. El equipo de seguridad redefinió el total de los permisos a nivel « corporativo ». Las funcionalidades avanzadas como los roles anónimos atribuídos por defecto o los roles compartidos utilizados por varias aplicaciones, mejoraron la adecuación entre el sistema de permisos y la verdadera actividad de la empresa.
Enseguida, la lista de roles se puso a disposición de los administradores para la administración diaria. Como la consola permite asociar directamente  un rol de Visual Guard a una cuenta o a un grupo Windows, el nuevo sistema de roles pudo ser puesto en marcha sin interferir con la arquitectura original.

La estandarisación de los procesos contribuyó a mejorar de manera singnificativa la transparencia del sistema de seguridad.
Centralizar todos los roles en un mismo lugar, en lugar de dispersarlos en cada aplicación, otorga una visión clara de las reglas de seguridad de la aplicación a todo momento. La funcionalidad de documentación otorga reportes automáticos que resumen dichas reglas de seguridad.
Nuestro cliente también usó la funcionalidad del log, el cual registró los eventos ejecutados en las aplicaciones.
La empresa estableció una lista de eventos que se debían registrar en función de las necesidades de la auditoría. Como el log puede ser enriquecido, el equipo puede añadir las informaciones necesarias a cada registro para que sean compatibles con las diferentes reglamentaciones en vigor (en particular la ley Sarbannes-Oxley (SOX).

Los resultados

Visual Guard permitó responder a la necesidad de homogeneización de nuestro cliente. El mismo tiene ahora una idea general de todas las reglas aplicadas y puede controlar todas sus aplicaciones a todos los niveles de la organisación. “Además, el soporte proveído por Novalys es excelente y muy rápido” indica el responsable de la seguridad. Actualmente, la seguridad de las aplicaciones .NET ha sido implementada. Las próximas fases de implementación permitiran asegurar el portafolio completo de aplicaciones.