Seguritecnia 375

TENDENCIAS 15 SEGURITECNIA Mayo 2011 Antonio de Cárcer Díez Director de Consultoría y Desarrollo de Producto de Prosegur Convergencia e integración Un camino por recorrer U no de los proyectos iniciales tí- picos que las empresas empie- zan a abordar en la Convergen- cia de la Seguridad son los llamados Sis- temas de Control de Presencia en los que los empleados se benefician de la facilidad de tener un único dispositivo que les permita el acceso tanto a los edi- ficios y dependencias como a los siste- mas y redes. Este sistema se puede tras- ladar al día a día mediante el uso de tar- jetas de autenticación inteligentes por parte de empleados, subcontratas y pro- veedores. Sin embargo, esta integración no está exenta de problemas. Conseguir que dos equipos de seguridad (Física e Infor- mática) trabajen al unísono puede ser complejo en algunas organizaciones. Añadamos la complejidad de com- binar sistemas tan heterogéneos como los tornos o cerraduras con los directo- rios activos de red y listas de usuarios, e incluyamos el problema del desplie- gue controlado de las tarjetas de acre- ditación y los software asociados en los puestos de trabajo. Parece complejo, pero ¿de qué esta- mos hablando exactamente? Autenticador Común El Control de Presencia utiliza una cre- dencial común para la autenticación. La más habitual es una tarjeta inteligente con interfaz para el acceso físico (por aproximación, contacto, lectura, etc...) y para el acceso a los sistemas informáti- cos. Esto ya existe. La mayoría de las tar- jetas inteligentes actuales manejan de forma integrada dos tipos de almacena- miento distinto para datos de acceso fí- sico y para datos de acceso lógico. Gestión del Usuario Las organizaciones tienen que persona- lizar las tarjetas inteligentes para hacerlas utilizables (impresión de la foto y datos del usuario, inclusión de certificados di- gitales e interconexión de la tarjeta a los diferentes sistemas físicos de acceso). Cuanta más personalización, más compleja es la gestión. Al final, la mayo- ría de los sistemas de Control de Presen- cia, exigen la existencia de un sistema de gestión de tarjetas inteligentes ( Card Management System , CMS). Actualmente los CMS existentes en el mercado pre- sentan un alto grado de integración con los sistemas de gestión de usuarios tra- dicionales de IT ( Active Directory , LDAP, etc...), pero sigue siendo necesario un determinado grado de programación y desarrollo para una completa integra- ción que facilite procesos de alta a nue- vos empleados y también garantice que los empleados que abandonan la em- presa ya no acceden a ningún sistema ni edificio. Gestión de la Seguridad de la Información Los sistemas de Gestión de la Seguri- dad de la Información (SIM) ayudan a consolidar y correlacionar la actividad del usuario a través de la red de siste- mas corporativos y dan una buena tra- zabilidad de sus acciones de cara a pro- cesos forenses o de cumplimiento nor- mativo. El SIM puede correlacionar informes de acceso a un sistema informático y de acceso a un edificio y detectar eventos de fraude (por ejemplo: un usuario que intenta acceder a los sis- temas sin estar dentro del edificio, o a un sistema que no le corresponde) o validar el acceso a un campus a un usuario que se ha registrado a través de un sistema remoto. La introducción en un SIM del uso de sistemas IT ( logs ) es bastante fácil. La in- corporación de sus contrapartidas “fí- sicas” (sistemas de control de acceso, tornos, barreras, etc...) puede ser más compleja dependiendo del nivel de ob- solescencia y características tecnológi- cas de los dispositivos en cuestión. Autorización Contextual La Autorización Contextual permite esta- blecer parámetros y reglas de utilización de los sistemas en función de la ubica- ción física del usuario y viceversa. Y, evi- dentemente, autorizando el acceso a to- dos aquellos que estén definidos como de acceso remoto o de libre acceso. El desafío Uno de los mayores frenos al éxito del Convergencia de Seguridad es la separa- ción tradicional típica de los dos depar- tamentos responsables de la seguridad física e informática. Estructuras que tra- dicionalmente mantienen líneas de re- porte separadas y que culturalmente no necesariamente se han interrelacionado bien. Pero, además de los retos organiza- cionales, también hay que superar barre- ras físicas. La mayoría de las grandes corporacio- nes tiene una gran variedad de sistemas de autenticación física que varían desde tarjetas inteligentes, “ tags ” magnéticos y tarjetas de crédito hasta simples re- gistros de papel o de tipo etiqueta im- primible. Y lo mismo pasa con los sistemas in- formáticos. Al final hay que establecer un proyecto de amplio espectro para inte- grar diferentes sistemas de acreditación física contra diferentes sistemas de acre- ditación lógica y eso es costoso tanto en tiempo como en recursos. Hay que tener en cuenta, no solo los sistemas sino los procedimientos y la re- cuperación de las tarjetas de acredita- ción de visitantes y proveedores o de ac- ceso temporal pasa a tener una impor- tancia tan alta como los desarrollos de “ middleware ” que haya que realizar para que los sistemas se hablen entre ellos.