Barcelona de Serveis Municipals (B:SM) es una empresa del Ayuntamiento de Barcelona encargada de la prestación de servicios municipales. Las actividades que gestiona incluyen aspectos relacionados con la movilidad, o la gestión de instalaciones dedicadas a la cultura, el ocio y la biodiversidad.

Recientemente, B:SM ha culminado un interesante proyecto, desarrollado junto con Grupo CMC, que sitúa a esta empresa pública en una posición de vanguardia en materia de seguridad, concretamente en los ámbitos de protección de la información y en la gestión de identidades y el control de accesos.

Como antecedentes, según Pedro Javier Seguí, responsable del Área Corporativa Bases de Datos, Seguridad y Comunicaciones en B:SM, hay que tener en cuenta que esta entidad dispone de un importante volumen de información sensible que es necesario proteger de forma eficiente, cumpliendo con la nueva RGPD (Reglamento General de Protección de Datos) y ENS (Esquema Nacional de Seguridad), de obligado cumplimiento por las administraciones y empresas públicas. Otro aspecto importante es la necesidad de hacerlo con un alto grado de automatización, con el objetivo de mitigar riesgos relacionados con las intervenciones manuales.

El objetivo era mejorar la gestión de la seguridad respecto al control y protección de los documentos corporativos

El objetivo era mejorar la gestión de la seguridad respecto al control y protección de los documentos corporativos a través de una herramienta de IRM (information rights management), además de contar con una solución para la gestión de identidades y accesos que fuera capaz de cumplir con una serie de requerimientos técnicos, como la posibilidad de auditar y reportar los cambios realizados o la capacidad para gestionar objetos en entornos MS Azure AD, Office 365 y META4.

«Con la puesta en marcha de estos dos proyectos hemos conseguido mejoras importantes respecto a la seguridad. Ambas soluciones nos han ayudado en todo lo relacionado con la externalización de los datos, incluyendo su seguimiento, la auditoria y clasificación«.

Autenticación y autorización

B:SM requería de una solución que les permitiera gestionar, de forma precisa y automatizada, todo lo relativo a la administración de los usuarios, desde la provisión o la sincronización hasta la coherencia de las identidades o los procesos de autenticación, todo ello para garantizar que las personas son quien que dicen ser y no se produzcan suplantaciones.

También había que asegurar que estos usuarios tienen solo y exclusivamente los derechos de acceso que deben tener (autorización), tanto sobre los sistemas como sobre los documentos confidenciales o de información en general. Se trataba de mitigar los riesgos, proporcionando a los usuarios —tanto internos como externos— exclusivamente el acceso a los datos y aplicaciones que necesitan, además de asegurar que se cumplen los requisitos de tiempo de actividad.

“B:SM necesitaba una solución para delegar, gestionar, automatizar y asegurar el acceso a Directorio Activo (AD) y ADFS (Active Directory Federation Services) entre diversos grupos administradores. Además, hacerlo de forma segmentada, con control de cambios, protegiendo los datos sensibles o críticos, y asegurando que se cumplen las políticas corporativas de manera efectiva”.

La respuesta a estas necesidades llega a través de Prot-On, la solución de Grupo CMC para la protección de documentos y, en el ámbito de gestión de identidades y accesos, se ha optado por Soffid, una herramienta IAM (identity & access management) de código abierto.

Protección de la información

A finales de 2019 arrancó el proyecto de protección de la información, que ha sido desarrollado por Grupo CMC en colaboración con Infoself Group, su partner local de Prot-On. Entre los factores determinantes a la hora de elegir esta solución destacan su capacidad para cifrar archivos y garantizar su protección con independencia del lugar en el que estén ubicados: un servidor corporativo, el ordenador del usuario o los diferentes servicios cloud que utiliza B:SM. La empresa pública también valoró específicamente la compatibilidad con Office, su integración con SharePoint o la posibilidad de realizar nuevas integraciones vía API con otros servicios web.

La solución Prot-On, configurada como un servicio de máxima disponibilidad en la nube (SaaS), no solo proporciona a B:SM control sobre quién accede y qué acción realiza sobre los documentos, también le permite facilitar el acceso de usuarios —internos y externos— a los documentos, cumpliendo con las políticas de acceso, modificación e impresión fijadas en función del tipo de documento y el perfil o rol del usuario. Además, incluye funciones especiales, tales como una serie de mecanismos de desprotección individual.

Una pieza clave de este proyecto es la posibilidad de importar los grupos de usuarios del Directorio Activo de B:SM

Una pieza clave de este proyecto respecto a las políticas de tratamiento de los documentos es la posibilidad de que Prot-On importe los grupos de usuarios del Directorio Activo de B:SM. Esta característica, además, constituye el nexo de unión con el proyecto de modernización de la gestión de identidades y accesos de esta empresa pública.

Gestión de identidades

En marzo de 2020 se inició el despliegue on premise de la solución IAM de código abierto, Soffid, que acaba de entrar en producción tras la correspondiente formación de sus usuarios. Esta solución, permite a B:SM desarrollar una gestión y orquestación centralizada de sus políticas de gestión de la identidad y de los accesos.

Con un máximo nivel de seguridad, Soffid propone una única herramienta desde donde es posible llevar a cabo la gestión automatizada de usuarios y accesos en su Directorio Activo, su servidor de correo Exchange —que está en proceso de migración a Azure— y en Office 365 como entorno de productividad. Además, se integra también con su sistema de gestión de RRHH: Meta4.

Cuando se crea un nuevo usuario, se generan automáticamente los accesos a su cuenta de correo o su carpeta personal

Se trata de un avance muy significativo con respecto a la situación de partida, en la que, tanto el alta de usuarios en Meta4 como la gestión de accesos, se realizaba de manera semiautomática (en Directorio Activo y Exchange) o totalmente manual (en el caso de las aplicaciones). Ahora, Soffid permite realizar un alta automatizada en base a perfiles. De esta forma, cuando se crea un nuevo usuario se generan automáticamente los accesos a su cuenta de correo y se crea también su carpeta personal, que está compartida en red de forma que puede ser accesible desde cualquier punto mediante la activación de una característica específica de Windows (Distributed File System o DFS). Este es un aspecto crucial en situaciones de movilidad y teletrabajo.

Además, también se le otorgan los permisos de acceso a las aplicaciones correspondientes de acuerdo con su perfil y con independencia de su dominio. Este último punto es importante para la gestión de los usuarios y accesos de los empleados de empresas participadas por B:SM como, por ejemplo, Parque de Atracciones del Tibidabo (PATSA).

Esta iniciativa, que alcanza a los 1200 empleados de B:SM, no solo ha simplificado y agilizado los procesos relacionados con la gestión de usuarios y accesos (altas, bajas y modificaciones), sino que también supone elevar a un nivel máximo las garantías de seguridad y de gobierno, puesto que todo queda registrado y auditado en Soffid.

El papel del empleado

Uno de los aspectos que ha resultado clave en ambos proyectos ha sido asegurar el papel que desempeñan las personas, incluso en las fases previas a la implantación. De hecho, según detalla el directivo de la empresa pública, tanto los empleados como la capa directiva de B:SM han percibido estas herramientas de seguridad como elementos necesarios y de un alto valor añadido.

También se ha puesto un especial cuidado en todo lo relativo a la capacitación de los empleados: “En la implantación de Prot-On se definió un amplio plan de formación online para personal corporativo integrado en la plataforma de formación corporativa B:SM Campus, diferenciando perfiles entre usuarios generales, responsables de área y administradores. En cuanto a Soffid, el ámbito de formación ha sido mucho más restringido (técnicos de soporte y administradores de sistemas), ya que se trata de una herramienta mucho más técnica, dirigida a la gestión de identidades y accesos”.

Evolución del escenario

La puesta en marcha de ambos proyectos sienta las bases para posibles nuevos avances a futuro, especialmente en la gestión de usuarios externos, tales como proveedores y colaboradores de B:SM, o incluso la ciudadanía, dentro de la estrategia municipal de administración electrónica.

Se ha simplificado y agilizado la gestión de usuarios y accesos. Todo queda auditado

En estas posibles fases se contemplan avances como el uso de la función role–mining de Soffid que, a partir de los accesos que tienen los usuarios en una determinada posición, crea un algoritmo para definir —de forma automática e inteligente— los permisos asociados a ese rol específico.

Por otra parte, y de cara a ganar agilidad e incrementar el nivel de implicación del usuario en la seguridad, se contempla la puesta en marcha de un portal de autoservicio. Esto les permitiría llevar a cabo la autogestión de sus contraseñas o incorporar un sistema de autenticación fuerte con doble factor, ya sea vía token, SMS, etc. También se está evaluando el uso de Soffid como solución de single sign–on, lo que permitiría a B:SM extender la autenticación federada de Microsoft a otros entornos y aplicaciones.

Otro de los puntos clave de mejora es la evolución imparable hacia la nube. Por ejemplo, según detalla Pedro Javier Seguí, “cada día contamos con más documentación compartida y colaborativa en entornos cloud. A futuro, se prevé la necesidad de proteger toda esta nueva información agregando una capa adicional de seguridad en estos entornos”.

En suma, la combinación de ambas soluciones —Prot-On y Soffid— proporciona a Barcelona de Serveis Municipals una doble herramienta de protección que la organización puede graduar hasta un nivel muy fino, teniendo en cuenta que asegura quién es quién, cuál es la naturaleza de cada documento o archivo, y qué puede hacer con él.