Estudio de Caso Visual Guard
El líder mundial de la industria metalúrgica asegura sus fábricas del mundo entero.
Esta prestigiosa corporación comenzó como una empresa familiar
en Estados Unidos. En el transcurso de su historia, la empresa supo desarrollar
y conquistar nuevos mercados, implementando en todo momento las mejores
técnicas de producción.
Este crecimiento se acompañó de fusiones y adquisiciones
con otros líderes mundiales.
Hoy en día, el grupo está presente en más de 30 países
y emplea a más de 60 000 personas en 200 sitios.
El crecimiento del grupo requirió una armonización de los
procedimientos de producción a todos los niveles.
Uno de los últimos campos a armonizar era la seguridad de los sistemas
informáticos.
El departamento de producción engloba 30 fábricas en todo el mundo. Cada fábrica emplea alrededor de 100 personas. Las fábricas están repartidas en 4 regiones: Estados Unidos, Australia, Brazil y Canadá.
Cada región había puesto en práctica su propio sistema
de control de acceso. Con el tiempo, se produjo una superposición
de los sistemas:
- Una de las regiones utlizaba grupos del Active Directory para controlar
las opciones del menú.
- La otra se basaba en Authorization Manager (AzMan) y había puesto
en práctica un control de acceso basado en roles (RBAC)
- Las dos otras regiones habían establecido soluciones internas,
las cuales también estaban basadas en el concepto RBAC.
Por lo tanto, el trabajo se hacía cuatro veces en lugar de una,
provocando una importante pérdida de productividad.
La multiplicación de las reglas de seguridad hacía que el
control fuera imposible.
El mantenimiento era increiblemente pesado, debido a la dificultad de
hacer evolucionar la seguridad cotidiana.
La multiplicación de los sistemas hacía la seguridad muy
poco transparente.
Además, los diferentes sistemas no permitían establecer permisos suficientemente detallados para responder a las necesidades reales de cada fábrica.
Esta situación obligó a nuestro cliente a establecer un
comité encargado de uniformizar el sistema de control de acceso
para toda la división de producción.
Después de un profundo estudio del mercado, nuestro cliente escogió
Visual Guard. Ante todo, se debía respetar la estructura existente
en cada región para que al momento de uniformizar, se provoca el
menor número de cambios posibles.
Cada una de las cuatro regiones instaló la versión de evaluación con la ayuda de los equipos de Novalys, para validar la solución en cada ambiente. “Todos quedamos muy impresionados con el trial”, declara el responsable de América del Norte. “La facilidad con la cual el producto es integrado en una aplicación es impresionante (creo que solamente se trataba de 3 líneas de código). Me dí cuenta que esta herramienta sería muy útil en nuestros sistemas”.
Se necesitaba una solución que brindara una solución uniforme
de autenticación. Además, esta autenticación debía
ser también lo más ligera posible para los usuarios, para
así limitar la multiplicación de las contraseñas.
Visual Guard permite reutilizar las cuentas o los grupos Windos guardados
en el Active Directory. Un asistente nativo permite declarar un número
ilimitado de cuentas en la consola de administración en una sola
vez.
Todos los empleados poseían una cuenta Windows. Esto permitió
reutilizar las cuentas existentes, sin ningún esfuerzo suplementario.
Además, esto permitió establecer de manera automática
el Single Sing-On de Windows (Autenticación Unica) para la totalidad
de aplicaciones del departamento.
Por otra parte, se debía estandarizar la organización de
los derechos de todo el departamento.
La consola de Visual Guard provee un sistema de roles y de permisos. Los
mismos son definidos de manera centralizada, enseguida desplegados en
cada fábrica. De esta manera, los derechos de acceso fueron uniformizados
y gestionados en un único lugar centralizado. Lo anterior simplificó
y aligeró el mantenimiento de manera muy importante.
La herramienta nativa de despliegue de Visual Guard ofrece diferentes
opciones de despliegue de la seguridad. Lo cual permite una gran flexibilidad
de adaptación en la organización del ciclo de vida de la
seguridad. En el caso de nuestro cliente, la uniformización debía
conservar una parte de autonomía a cada fábrica. La herramienta
otorga esta flexibilidad y garantiza la autonomía de los equipos
en el campo.
En comparación con todas las otras soluciones previstas, Visual Guard permite una mejora de productividad sin precedentes. En efecto, la tecnología de Dynamic Permissions (permisos dinámicos) permite definir los permisos en unos cuantos clics dentro de un módulo, sin necesidad de añadir código alguno a las aplicaciones. Estos permisos son aplicados de manera dinámica, mientras que la aplicación está en producción.
La capacidad de rastrear cualquier evento de la aplicación, fue también un factor importante al escoger Visual Guard. Las reglamentaciones de auditoría se multiplican, por lo tanto se necesita tener una visión global de quién hace qué en cada fábrica. A partir de la consola de administración de Visual Guard, las interfaces dedicadas permiten consultar quién dio un permiso, quién hizo qué en las aplicaciones, o generar reportes de la totalidad de las reglas de seguridad.
Finalmente, la facilidad de gestión de la seguridad para los administradores era un punto vital: un vez que las reglas fueran definidas, cada responsable de fábrica debría ser autónomo en la administración cotidiana de los usuarios y de sus derechos. En este punto Visual Guard también ofrece una gran flexibilidad. En función del nivel técnico de los admnistradores, estos pueden, ya sea utilizar la consola Winform, que permite efectuar las acciones cotidianas y las acciones un poco más técnicas, o la consola Web, destinada exclusivamente a la administración de las identitades llevadas a cabo por personas no técnicas. Visual Guard pone también a disposición un gran número d’APIs que dan la posibilidad de crear formularios de administración totalmente personalizables cuando es necesario.
Para el departamento de producción, era necesario hacer una despliegue
por etapas. Cada región posee su ritmo de producción el
cual debía ser respetado. La puesta en marcha progresiva permitió
hacer una profunda transferencia de conocimientos con el equipo de Canadá.
Esta cercana colaboración con los equipos de Novalys permitió
analizar de manera detallada la arquitectura y la estructura organizacional
del departamento.
Nuestro equipo pudo así tomar en cuenta una a una las especificaciones
tecnológicas del cliente.
Una vez que los primeros sitios fueron puestos en producción, la
formación y la implementación se lanzaron en Brazil y en
Australia. El mismo proceso establecido anteriormente se llevó
a cabo, permitiendo asegurar las aplicaciones del cliente.
La integración con el Active Directory permitió uniformizar
la autenticación de las cuatro regiones de manera totalmente transparente
para los usuarios. Los mismos ya no están obligados a usar sus
antiguas contraseñas.
Desde un punto de vista técnico, la integración extremadamente
ligera de Visual Guard facilitó esta tarea para los equipos de
las quatro regiones, no importando la diversidad de los sistemas existentes.
La presencia de los equipos de Novalys y el soporte técnico, la
formación y el análisis de las necesidades fueron determinantes
en el proceso.
Además, la gestión de los derechos proveída por Visual
Guard, con permisos dinámicos, roles centralizados y despligue
flexible, permitió establecer la administración centralizada
de los derechos conservando una gran autonomía de los equipos en
el terreno.
Finalmente, las herramientas de administración de las identidades
permiten simplificar considerablemente el trabajo de los admnistradores
sobre cada sitio, independientemente de su nivel técnico.