Caja Castilla La Mancha (CCM) se constituyó en 1992 tras la fusión de las extintas Cajas de Ahorro Provinciales de Albacete, Cuenca y Toledo, creando una entidad financiera de ahorro que, a día de hoy, cuenta con casi 2.500 empleados y cerca de 450 oficinas distribuidas por buena parte del territorio nacional.
Durante estos últimos once años, la evolución del negocio en CCM ha cursado de manera similar a la del resto de entidades financieras españolas y siguiendo las pautas de un fuerte crecimiento de la actividad; de una dispersión geográfica motivada por la apertura de nuevas sucursales territoriales, y de la necesaria adaptación a nuevos modelos de negocio propiciados en muchos caos por la utilización de las nuevas tecnologías basadas en Internet (banca electrónica, doméstica, utilización de tarjetas, etc.).
Desde el punto de vista tecnológico, tampoco han existido grandes diferencias respecto de sus competidores las aplicaciones transaccionales ha quedado tradicionalmente en manos de un entorno host de proceso típico de IBM (OS/390, CICS, DB2, etc.); se utiliza una plataforma bancaria de producción basada en la solución de mercado Altamira de Accenture, y el departamento de sistemas de la entidad ha visto como, en los últimos años, las plataformas Unix y Wintel iban recortando capacidad y responsabilidad al servidor corporativo y que, como resultado de esta migración, surgían nuevos entornos especializados por aplicación que también requerían gestionarse como un conjunto global.
Donde sí parece haber una notable diferencia a favor de CCM es en su decidida apuesta por los temas de seguridad, entendida como un factor clave del nuevo negocio bancario. Para Faustino Villarrubia, jefe del Departamento de Seguridad y Control de Proceso de Datos, esta apuesta pasa en primer lugar por el cumplimiento de la legalidad vigente sobre protección y confidencialidad de los datos de nuestros clientes, pero también por los importantes beneficios, en la mayoría de los casos intangibles, que se obtienen tras la implantación de políticas acertadas en este ámbito desde el punto de vista de la organización. A todo esto habría que añadir los beneficios obtenidos desde la perspectiva de una imagen corporativa que queda reforzada con este tipo de proyectos los clientes necesitan cada vez más tener una sensación de seguridad plena en sus transacciones bancarias y esta percepción se hace mucho más patente si el canal utilizado para comunicarse con la entidad es Internet, donde no hay un interlocutor presencial.
Estos fueron las razones principales por las que CCM se decidió a implantar un proyecto de seguridad, cuyo pistoletazo de salida se produjo en 2000, coincidiendo con la creación de un departamento expresamente dedicado a este tema.
Durante ese año se analizaron los diferentes escenarios y modelos de políticas de seguridad y se empezó a estudiar las distintas herramientas existentes en el mercado. En ningún caso se pretendió desarrollar un proyecto ad hoc interno, si no apoyarse en los estándares, siguiendo en este caso la misma estrategia utilizada por la entidad bancaria en cualquier otro ámbito de sus desarrollos en Tecnologías de la Información el proyecto debía basarse en las normativas ya existentes en CCM y, por lo tanto, la plataforma elegida debía integrarse plenamente con las mismas. Precisamente este requisito redujo nuestra capacidad de decisión porque no había muchas soluciones adaptadas a nuestra solución bancaria Altamira.
Este requerimiento y su facilidad de implantación fueron los criterios decisivos por los que CCM se decantó por la plataforma Irene desarrollada por el Grupo SIA que integra Control-SA de BMC Software como el entorno de trabajo idóneo para la gestión centralizada de la seguridad a través de la implantación de un método sencillo y seguro, capaz de resolver los problemas de gestión en una organización distribuida. Como explica Villarrubia, gracias a esta implantación, CCM podrá ofrecer a sus clientes un servicio plenamente seguro, en el que los datos se tratan de forma totalmente confidencial y las transacciones no sufren ningún peligro procedente de cualquier injerencia externa o acceso no autorizado. Nuestro cliente podrá sentirse como en casa y esperamos ofrecerle por medio de esta solución toda nuestra ayuda para simplificarle las operaciones y seguir siendo su entidad preferida en términos de servicio.
El proyecto se dividió en dos grandes fases -sincronización y gestión- y en cada una de ellas lo más complicado fue convencer a la dirección de los beneficios tangibles y no tangibles de la solución y, segundo, provocar el cambio cultural necesario para la aceptación de unas plataformas que suelen crear incertidumbre, dudas y recelos entre los usuarios internos y administradores de sistemas de las organizaciones donde se implantan.
Sin duda alguna, asegura Villarrubia, En el caso de la seguridad, los ROIs posibles se diluyen en el tiempo y no es fácil establecer ventajas materiales a corto plazo. Es mucho más fácil vender, por ejemplo, una solución de CRM que una de seguridad. Los retornos de la inversión de una solución de gestión de relación con clientes son más evidentes, porque atacamos directamente al núcleo del negocio. En el caso de las políticas de seguridad, las ventajas son menos tangibles y aparentemente menos ligadas a la actividad. Sin embargo, la dirección de CCM supo entender desde el principio la intensidad del proyecto y sus beneficios a medio y largo plazo la propia constitución de un departamento de seguridad y los medios materiales y humanos puestos a nuestra disposición así lo atestiguan.
En cuanto a la cuestión cultural, los problemas surgen desde los propios usuarios internos al entender que las políticas de seguridad violan su libertad profesional o entorpecen su labor diaria, y desde los administradores de sistemas que ven coartadas parte de sus responsabilidades tradicionales. Desde mi departamento hemos dedicado una buena parte del trabajo a la visibilidad del proyecto y a poner todo lo que estaba en nuestras manos para su aceptación en el seno de la entidad. Es cierto que una política de seguridad implica cambios necesarios en la organización y en los modelos de trabajo tanto de los usuarios como de los administradores, pero creo que finalmente han entendido las ventajas y las garantías que entrañan esas políticas para su cometido diario. Ahora los administradores de sistemas pueden dedicar una mayor atención a las plataformas técnicas y olvidarse de las típicas rutinas para dar de alta o de baja a los usuarios en la red y, por su parte, los usuarios finales no tienen que estar pensando en sus contraseñas o en escribirlas en cualquier papel que terminará indefectiblemente escondido en un cajón y accesible para todo el mundo.
Como parte de la solución implantada se ha dado una serie de respuestas encaminadas a facilitar, mediante el uso de una única contraseña, la identificación diaria de los usuarios en los sistemas y aplicaciones en los que desarrollan sus trabajos (entorno host, Windows, Lotus Notes, etc.) y, en segundo lugar, a unificar la provisión de usuarios en los diferentes sistemas de seguridad, mediante un flujo de trabajo de autorizaciones que habilita poder dar una respuesta efectiva e integrada con el departamento de Recursos Humanos de la CCM. Este workflow se origina en el departamento de Personal para que de una manera automática cualquier usuario que se de de alta o que sea objeto de un cambio en su perfil de puesto de trabajo, pueda acceder a la información según los privilegios de acceso establecidos. Ahora, todos los empleados de la entidad que necesitan acceder a una gran variedad de plataformas, bases de datos o aplicaciones distribuidas, pueden hacerlo desde un único punto.
Como valor añadido, la infraestructura diseñada e implantada permite a CCM implementar una política corporativa de caducidad de contraseñas, resolver la problemática asociada a la dispersión de ficheros IDs de Lotus Notes, y minimizar el tiempo necesario para la asignación de permisos de acceso, a la vez que se han sentado las bases para dar el salto definitivo al uso de certificados digitales como medio de autentificación.
Además de la próxima implantación de LDAP, CCM tiene previsto profundizar en este proyecto para dar una solución a las continuas necesidades de teletrabajo y a los requerimientos de una banca electrónica donde los clientes han puesto muy alto el nivel de exigencia. Tenemos que dar una solución a teletrabajador remoto y al empleado en movimiento por las distintas instalaciones de la entidad, además tendremos que integrar en el sistema a los clientes de banca electrónica y por supuesto empezar a pensar en los certificados digitales. Pero lo importante es que la infraestructura que hemos montado nos facilita esta evolución de una manera uniforme y garantizando las inversiones realizadas.
