PROPUESTA de Artículo para SIC ( Borrador ) GESTION DE IDENTIDADES EN IBERDROLA. MEJORANDO LA CALIDAD DE SERVICIO A USUARIOS, CUMPLIMIENTO NORMATIVO Y COSTES DE OPERACIÓN Resumen: El proyecto de Gestión Centralizada de Identidades, que Iberdrola acomete dentro de sus planes de mejora y expansión, está orientado a fortalecer la Administración, Autorización y Auditabilidad de sus sistemas, al tiempo que se obtienen importantes beneficios directos, mediante el ahorro de costes y facilidad de trabajo para los usuarios, e indirectos, con la mejora de la seguridad, consolidación de datos para auditoria y de los procesos administrativos de la gestión de usuarios. Para Iberdrola, el usuario está en el centro de este proyecto, y el Single Sign On en el Portal Corporativo así como la reducción en los tiempos de espera para conseguir altas y autorizaciones en las aplicaciones, supone importantes ventajas. Todo ello bajo el empleo de arquitecturas y tecnologías sólidas y avanzadas que habilitarán futuros retos del negocio y de TI, dado que la Gestión de Identidades es un aspecto fundamental para la eficiencia, control de riesgos y expansión de un negocio. Los objetivos, alcance y ejecución del proyecto en Iberdrola cubren un amplio rango de elementos. Intentar abarcarlos todos ellos en este artículo resulta muy ambicioso y por ello, mostraremos algunas pinceladas de los elementos más destacados de la solución, así como las características que convierten a la solución en especialmente interesante para cualquier organización, dado que de una forma u otra todas las organizaciones de TI comparten problemas comunes alrededor de la administración de usuarios y recursos, facilidad de uso, cumplimiento de normativas y por supuesto eficiencia y reducción de costes. Para el desarrollo de este proyecto Iberdrola ha contado con el Grupo SIA, valorando especialmente su experiencia y flexibilidad, claves para este tipo de proyectos. Los Objetivos Iberdrola, consciente de la necesidad de abordar un proyecto completo de gestión de identidades, acomete las principales funcionalidades referidas a la gestión de usuarios y a la utilización de credenciales en una primera fase, que proporcione una rápida visibilidad de resultados a la organización. Esta primera fase, consistente en el auto-aprovisionamiento de contraseñas y usuarios, y permite poner en marcha la funcionalidad de SSO del Portal del Empleado y la gestión de usuarios en las aplicaciones de mayor uso dentro de Iberdrola. De esta manera se cubre, de forma inmediata, las siguientes necesidades: Mejora de la productividad de los empleados de Iberdrola, proporcionándoles mecanismos que faciliten la autogestión y sincronización de sus contraseñas. Mejora de la productividad de los administradores de sistemas, mediante la automatización de la administración de los usuarios en los diferentes aplicativos. Mejora de la gestión de la seguridad de los sistemas de Iberdrola, proporcionando herramientas que permitan la definición y gestión de políticas de forma centralizada, así como funcionalidades de auditoría sobre el cumplimiento de estas políticas. Mejora de la experiencia de Single Sign On de los usuarios del Portal del Empleado de Iberdrola, automatizando su aprovisionamiento y actualización. Para ello se requiere una solución, que en esta primera fase de respuesta a las siguientes funcionalidades: Disponer del auto-aprovisionamiento de contraseñas para las aplicaciones de más uso en Iberdrola. En lo referente a las definiciones de usuarios y contraseñas poner en marcha la funcionalidad de Single Sign On en el Portal del Empleado, que entre otras cosas requiere sincronización de contraseñas y definir grupos de aplicaciones que compartan contraseña Centralizar y automatizar el aprovisionamiento de usuarios en las plataformas de uso común. Habilitar un repositorio centralizado de usuarios para garantizar la consistencia de los datos y facilitar las labores de auditorias para garantizar el cumplimiento normativo interno y externo (Sarbanes-Oxley entre otras) Para ello, Iberdrola realizó una prospección de tecnologías de mercado en la cual realizó una Prueba de Concepto para vislumbrar la viabilidad de las soluciones planteadas y seleccionar un Integrador de largo recorrido para la puesta en marcha del sistema de Gestión de Identidades. La arquitectura propuesta por Grupo SIA con la tecnología Identity Management Suite ( anteriormente llamado Control-SA) del fabricante BMC Software, es la opción que mejor cumplía con los requerimientos, y la seleccionada para la que se implanta el nuevo Sistema Gestión de Identidades abriendo nuevas oportunidades y mejorando de forma sustancial la operatividad y eficiencia en la administración de la seguridad de los sistemas. En la primera fase ya en producción, el número de sistemas/aplicaciones implicados en el proyecto supera los 15 y el de usuarios ronda los 8000. Por otra parte, los beneficios no se hacen esperar y durante el desarrollo del proyecto se producen algunos más, derivados de la propia implantación de la solución. Arquitectura y Tecnología Como se ha comentado, la solución técnica utiliza Identity Management Suite de BMC (solución que recoge todos los avances que se han venido incorporando a Control-SA, uno de los mejores referentes tecnológicos del mercado) que se ocupa de la administración de perfiles de acceso y la gestión de las contraseñas de usuario de forma centralizada: El servidor de Control-SA, ESS (Enterprise Security Station), se encarga de mantener el mapeo de los distintos identificadores de un empleado en los diferentes sistemas en los que está definido a través de agentes específicos para cada sistema. Dichos agentes realizan una carga inicial de las definiciones existentes en un repositorio central y a partir de entonces mantiene una sincronización bidireccional entre dicho repositorio y los que manejan los sistemas/aplicaciones de Iberdrola. Además, estos agentes de Control-SA interceptan el cambio de contraseña que el usuario realiza en un sistema, p. ej. en la entrada en la red (Active Directory), bien porque el sistema de seguridad del mismo lo requiere para cumplir la política de renovación de contraseñas establecida o bien porque el usuario decide realizar el cambio a voluntad, y propagar dicho cambio al resto de sistemas/aplicaciones donde está definido. De este modo, Control-SA mantiene sincronizados de manera automática los distintos repositorios de las aplicaciones con el Portal del Empleado, de modo que se incluye la funcionalidad de Single Sign On sin necesidad de intervención por parte del usuario final. La administración centralizada se realiza desde la consola central ESS, ofreciendo una gestión de todos los usuarios de la organización en todos los sistemas (y aplicaciones) de la misma. Tanto la seguridad como las áreas organizativas pueden contemplar al usuario, así como toda la colección de cuentas que dicho usuario mantiene en cada uno de los sistemas. Las acciones realizadas sobre la infraestructura son propagadas por ésta al resto de sistemas y del mismo modo, los cambios en los sistemas son detectados y propagados hacia la infraestructura. Se consigue una mayor eficiencia, ya que se reducen los recursos necesarios para las operaciones sobre el usuario, tales como altas y bajas. Se logra, además, una mayor efectividad, ya que es posible, por ejemplo, propagar las bajas de usuarios en todas sus cuentas. Así mismo, las capacidades de auditoria se potencian al ser posible identificar al usuario con cada uno de los nombres de cuentas que le identifican. Para conseguir la funcionalidad de auto-aprovisionamiento de contraseñas se utiliza el producto Control-SA Passport del mismo fabricante, BMC Software, que implementa un interface Web al que el usuario se puede conectar y, tras una autenticación previa, puede realizar un cambio de su contraseña la cual se propaga, mediante Control-SA, a los repositorios donde está definido. Adicionalmente, si el usuario pierde u olvida su contraseña de acceso, Control-SA Passport implementa una autenticación basada en desafío/respuesta (secreto compartido) para permitir que el usuario sea autónomo incluso en esta circunstancia en la gestión de su contraseña de acceso a los sistemas de información sin tener que involucrar a Help-Desk. Fruto de la experiencia en el despliegue de proyectos similares, SIA aporta un componente adicional denominado Reset Password (Figura 2) disponiendo del acceso al interface web de Control-SA Passport desde la propia pantalla de autenticación Windows (GINA), de modo que el usuario, en caso de pérdida u olvido de su contraseña, tiene a disposición las herramientas para realizar el reset de la contraseña sin tener que desplazarse a otro puesto de trabajo para lanzar un navegador con el que acceder via web a Control-SA Passport. Otra de las facetas importantes del proyecto es simplificar las labores de administración y auditoria con lo que se reduce el coste operativo de la gestión de usuarios. Dentro de este apartado conviene resaltar que la centralización de la gestión y del repositorio de usuarios permite gestionar mejor los riesgos inherentes a los privilegios de accesos de usuarios, y esto supone mejorar el nivel de seguridad y facilitar todas las labores de auditoria asociadas a normativas internas y externas. Conclusión Desde el punto de vista del usuario, accederá a la estación de trabajo, se identificará con su contraseña y accederá a su escritorio habitual. En el acceso al Portal del Empleado se seleccionarán las aplicaciones a las que tiene acceso, y a las que no será necesario una nueva autenticación, mejorando la usabilidad en el acceso a las aplicaciones. Igualmente, el cambio de password en el sistema será un proceso automático y transparente para el usuario, propagándose este cambio a todos los sistemas integrados bajo el alcance de la solución. Desde el punto de vista del administrador, el sistema de gestión de usuarios con Control-SA permitirá la sincronización de claves y el aprovisionamiento automático de cuentas y derechos de usuarios en todos los sistemas, facilitando así la gestión de los mismos; de la misma forma, se evitarán los problemas derivados de las peticiones de los usuarios que requieran una nueva clave por olvido o por otras circunstancias. Esto permitirá a los administradores, ante un cambio de contraseña o reseteo, no tener que realizar el cambio en cada una de los sistemas finales, sino que se realizará desde un único punto. Por su parte, las auditorias tienen un repositorio central donde recoger toda la información inherente a los derechos de acceso que disfrutan los usuarios. El proyecto desplegado por Iberdrola refleja, en definitiva, la seguridad perseguida y a la vez conciliada con la funcionalidad aportada a los usuarios finales, facilidad de uso y ahorro de costes; en suma, constituye una oportunidad inmejorable para colaborar con los nuevos objetivos de negocio de la organización. Figura 1: Esquema lógico Gestión de Identidades Figura 2: Reset Password: auto-aprovisionamiento de contraseñas desde Workstation Autor del borrador: Javier Fernández Urdinguio