Seguritecnia 388

SEGURITECNIA Julio - Agosto 2012 23 TENDENCIAS Cuanto mayor sea el nivel de perso- nalización, mayor es la complejidad de la gestión. Como resultado, la mayoría de los sistemas de control de presen- cia exigen la existencia de un sistema de gestión de tarjetas inteligentes o CMS ( Card Management System ). Los CMS existentes en el mercado presen- tan un alto grado de integración con los sistemas de gestión de usuarios tra- dicionales de IT ( Active Directory , LDAP, etc.), pero sigue siendo necesario un determinado grado de programación y desarrollo para una completa integra- ción que facilite procesos de acogida a nuevos trabajadores y –consecuente- mente– también garantice que los em- pleados que abandonan la empresa ya no acceden a ningún sistema ni edificio, con el mínimo de coste en procesos de gestión y mantenimiento del sistema. Los sistemas de gestión de la segu- ridad de la información (SIM) están ga- nando terreno dentro de las organiza- ciones. Ayudan a consolidar y correla- cionar la actividad del usuario a través de la red de sistemas corporativos y dan una buena trazabilidad de sus accio- nes de cara a procesos forenses o mera- mente de cumplimiento normativo. Por ejemplo, el SIM puede correlacio- nar eventos de acceso a un sistema in- formático y de acceso a un edificio de un mismo usuario y detectar eventos de fraude (por ejemplo, un usuario que intenta acceder a los sistemas sin estar dentro del edificio, a una hora no auto- rizada o a un sistema que no le corres- ponde) o validar en un entorno físico de campus (universidad, complejo de edi- ficios, etc.) a un usuario que se ha regis- trado a través de un sistema remoto. Mientras que la introducción en un SIM de las auditorias de uso de sistemas IT ( logs ) es bastante fácil, la incorpora- ción de sus contrapartidas “físicas” (sis- temas de control de acceso, tornos, ba- rreras, etc.) puede ser más compleja, de- pendiendo del nivel de obsolescencia y diversas características tecnológicas de los dispositivos en cuestión. Llevemos el ejemplo anterior al si- guiente nivel: ¿Es posible impedir la au- tenticación de un usuario a un sistema informático de nuestra oficina en Barce- lona, cuando sabemos que físicamente se encuentra en Madrid? Ese es el ob- jetivo de la Autorización Contextual; es- tablecer parámetros y reglas de utiliza- ción de los sistemas en función de la ubicación física del usuario (y evidente- mente, autorizando el acceso a todos aquellos que estén definidos como de acceso remoto o de libre acceso). Se ha de seguir trabajando por la co- ordinación que diluya la separación tradicional típica de los dos departa- mentos responsables de la seguridad física e informática. Estructuras que tradicionalmente mantienen líneas de reporte separadas y que culturalmente no necesariamente se han interrelacio- nado bien. Barreras físicas Pero, además de los retos organizacionales, también hay que superar barreras físicas. Debido a adqui- siciones, cambios y otros factores, la mayoría de las grandes corporacio- nes tiene una gran varie- dad de sistemas de auten- ticación física que varían desde tarjetas inteligen- tes, tags magnéticos y tar- jetas de crédito hasta sim- ples registros de papel o informáticos de tipo eti- queta imprimible. Y lo mismo pasa con los sistemas informáticos. Al fi- nal hay que establecer un proyecto de amplio espec- tro para integrar diferentes sistemas de acreditación física contra di- ferentes sistemas de acreditación lógica, y eso es costoso tanto en tiempo como en recursos. Hay que tener en cuenta que no solo los sistemas, sino también los procedi- mientos y la recuperación de las tarje- tas de acreditación de visitantes y pro- veedores o de acceso temporal, pasan a tener una importancia tan alta como los desarrollos de middleware que haya que realizar para que los sistemas se hablen entre ellos. A pesar de estos obstáculos, cada vez más empresas están potenciando y lan- zando proyectos de convergencia de seguridad, y las solicitudes que recibi- mos los departamentos de Consultoría de Seguridad de compañías del sector tradicionales igualan y, en algunos ca- sos superan, a los que reciben las em- presas de soporte de IT tradicional. Si fuéramos capaces de integrar los accesos físicos y lógicos con la misma tarjeta, se conseguiría la integración completa de los sistemas