La empresa Selesta fue la empresa seleccionada (finales de 2001) por Rural Servicios Informáticos para llevar a la práctica el proyecto de seguridad global que la empresa de servicios bancarios tiene actualmente en marcha. La compañía integradora ha implantado un sistema para administrar los sistemas de seguridad de las plataformas que forman el sistema de información de RSI para el soporte informático de las Cajas rurales de su grupo y para el resto de las entidades para las que trabaja como empresa de externalización de servicios informáticos.
En los casos en que como RSI se dispone de un sistema informático complejo en el que además de un potente mainframe OS/390 (IBM), existen otros entornos de trabajo basados en Unix, Windows, OS/400 e incluso aplicaciones propias que disponen de un sistema de seguridad especializado, es necesario disponer de una tecnología como la empleada en este proyecto, porque, como explica Pedro Pablo López, gerente de Infraestructuras de Tecnología y Seguridad, «la necesidad estriba en poder realizar una administración de la seguridad bajo criterios estrictos de política corporativa».
La tecnología Systor ha facilitado la centralización y automatización de las operaciones necesarias de sistemas de seguridad que afectan a miles de usuarios (actualmente doce mil), de acuerdo con una normativa común. Además, ofrece la posibilidad de contemplar la seguridad de todos los sistemas productivos existentes, e incluso es capaz de administrar por encima de otros sistemas implantados para algunas áreas concretas, con el fin de centralizar y automatizar tareas tales como el alta y baja de usuarios; la asignación y sincronización de contraseñas o la modificación de las atribuciones de acceso a los recursos, entre otros aspectos, facilitando además la posibilidad de delegar funciones, posibilidad esta última que, según López, «fue especialmente valorada en la selección de las herramientas».
El sistema implantado por RSI utiliza técnicas punteras tales como la asignación de autorizaciones en función de roles que clarifica y facilita la operatoria, así como una interfaz con las bases de datos que contienen la información de recursos humanos de las empresas a las que RSI proporciona sus servicios (cerca de setenta y cinco cajas rurales de toda España y otras entidades bancarias y de crédito). La infraestructura está localizada en el mainframe de la compañía como garantía sólida de asentamiento, ya que un hipotético fallo en su funcionamiento, sólo afectaría a las funciones de administración de la seguridad y no al funcionamiento productivo del sistema de información.
La plataforma Systor permite a RSI utilizar todas las funciones de seguridad que aportan los diversos sistemas existentes, centralizando su control y sin necesidad de tener que ocupar personal con conocimientos de las características de seguridad de cada uno de los sistemas existentes y de los que puedan integrarse en el futuro, proporcionando la posibilidad de automatizar estos procesos, realizar auditorías y obtener la información de la seguridad del centro de información como un todo corporativo.
La implantación de la Ley de Protección de Datos (LOPD) hizo ver a Rural Servicios Informáticos la necesidad de acometer un proyecto de esta naturaleza que permitiera contemplar toda la complejidad con una visión única, dar respuesta a los requerimientos de trabajo de las personas y grupos de trabajo se su organización y facilitar la labor de los usuarios en un ambiente eficazmente controlado, para conseguir las máximas posibilidades de todos y cada uno de los sistemas de seguridad previamente existentes tanto en las áreas de los sistemas operativos, como de los diferentes subsistemas de la arquitectura informática, de las redes y aplicaciones.
La creación de un grupo de trabajo integrado por representantes de diferentes departamentos de RSI y de algunos de sus más importantes clientes como Caja Rural de Valencia y Caja Rural de Almería, junto a una campaña de concienciación interna sobre los temas de seguridad, fueron los dos pilares sobre los que arrancó un proyecto que partía de serias limitaciones como la heterogeneidad en la gestión de los sistemas y la multitud de aplicaciones y de usuarios.
Tras un año de análisis del mercado de herramientas y de consultas a consultores, la decisión final recayó en la plataforma Systor con la competencia de Control SA de BMC Software, de Access 360 y de Tivoli (Identity). «Tras finalizar los pilotos vimos que Systor cumplía todos los requisitos establecidos para las pruebas llevadas a cabo en sincronización de claves, gestión de usuarios multiplataforma basada en roles y administración delegada vía web. La integración final se realizó en 48 horas y la metodología empleada cumplía todas los requisitos puestos al integrador. El resultado es una solución de seguridad escalable al cien por cien, que facilita la automatización total de los proceso e integrada, es decir, que integra la seguridad en un único punto lo que nos permite pensar en soluciones futuras como podría ser un data warehouse especializado en estas funciones», resume López.
Aunque es difícil valorar el retorno de la inversión en este tipo de proyectos. Pedro Pablo López insiste en que los mejores beneficios se «obtienen por las importantes reducciones de costes de administración de la herramienta y de la seguridad. Actualmente mi departamento lo componen ocho personas».
