Con una larga trayectoria en el mercado que supera los cincuenta años de andadura, la compañía Cesce adquirió hace poco más de un año a tres empresas clave para su actividad, y empezó a operar como Grupo.
Participada en su mayoría por capital procedente del Estado español, el objetivo fundamental de Grupo Cesce consiste en asegurar los créditos de la exportación de las empresas españolas como potenciación del mercado de España en el extranjero.
El Subdirector de Servicios Tecnológicos de Grupo Cesce, José Antonio de Mena, explica las motivaciones que llevaron a Cesce a la adquisición de compañías tecnológicamente especializadas y consolidadas. “Cesce compra la compañía Informa porque es la empresa que da los informes comerciales y financieros al tiempo que ofrece la gestión integral del crédito”, explica de Mena, al tiempo que comenta la adquisición de CTI, dado que es la empresa de asociada a Informa que se dedica a dar servicios a bancos en todos los aspectos relacionados con créditos.
La tercera empresa adquirida por Cesce, Icia, se formó como un consorcio internacional orientado sobre todo al creciente mercado iberoamericano, para apoyar y asegurar los créditos de las empresas españolas en los mercados de Suramérica. Además de España y Latinoamérica, Grupo Cesce está expandiendo sus actividades en diferentes países europeos y también en Marruecos.
La operatividad del departamento de servicios tecnológicos de Grupo Cesce es reciente, ya que funciona desde octubre de 2006 a partir de las adquisiciones de Informa, CTI e Icia, proporcionando servicios de insourcing tecnológico (lo están haciendo desde el propio departamento sin contar con ninguna empresa externa), con el objetivo de aunar los sistemas tecnológicos de cada una de las compañías adquiridas.
Mas de 1.100 usuarios utilizan a diario los servicios on line que proporciona Grupo Cesce; un volumen de gestión de información que precisa de tecnología de seguridad en la gestión de identidades, así como control y auditoria de accesos a fin de asegurar que los empleados no accedan a páginas no autorizadas, y evitar la presencia de hackers.
El subdirector de Servicios Tecnológicos de Grupo Cesce explica que la compañía lleva tres años trabajando en aunar la tecnología bajo una división común; un proceso que culminó a finales del pasado año 2006. A nivel funcional, de Mena señala que cada compañía del grupo opera con su propio sistema de información.
“Los técnicos de nuestro departamento provienen de todas las empresas que forman parte de Grupo Cesce y gestionan multitud de plataformas y sistemas que tienen distintas condiciones de seguridad, porque la política que se ha marcado distinta.” El directivo señala que los técnicos solían trabajar agrupandose en unidades de trabajo definidas por el departamento se Servicios Tecnológicos (Unix, Linux, ZOS…).
Ellos administraban plataformas de distintas empresas, se intercambian los usuarios, claves de acceso… unas actividades que suelen ser nefastas porque ponen en juego la seguridad en los sistemas de información.
“En cuestiones relacionadas con la seguridad y la calidad, nos encontramos que teníamos que romper con esta dinámica de intercambio de accesos.” Para empezar a ordenar esta forma de operar el departamento de José Antonio de Mena planteó una identificación personal e intransferible de todos los técnicos con su nombre y apellidos y, con esa identificación única, cada técnico accede ahora únicamente a aquellos sistemas que precisa por su tipo de trabajo.
El paso siguiente del departamento de Servicios Tecnológicos de Grupo Cesce, una vez establecida la gestión de identidades de los usuarios, ha consistido en la implementación de un sistema que controla y audita los accesos. “No sólo queríamos gestionar cada acceso sino saber qué hacía cada quién, en definitiva: nos interesaba auditar la actividad que realizaban las personas e, incluso, los análisis forenses posteriores y cuadros de mando.”
La compañía realizó un “bechmarking” interno, valorando la funcionalidad de las herramientas de control de accesos y gestión de identidades que habían en el mercado, y su adaptación a la plataforma de la compañía, y se decidió finalmente por las soluciones de eTrust Single Sign-On, eTrust
audit., y eTrust Security Command Center de CA (la antigua Computer Associates).
El primer sistema de CA automatiza el acceso de los usuarios a todas a las aplicaciones a través de una sola identificación, que además permite mejorar las prácticas de seguridad sin necesidad de que los usuarios tengan que recordar multitud de identidades y contraseñas.
Por su parte, eTrus Autid recoge y almacena en un repositorio todos
los logs de los sistemas relacionados con seguridad para que puedan ser analizados, auditados, utilizados en informes para hacer verificaciones y monitorizar eventos. Finalmente, eTrust Security Command Center
resuelve la problemática de tener que discernir entre todas las alertas de seguridad que se reciben, cuáles son las verdaderamente críticas. eSCC recopila, consolida y correlaciona los datos de seguridad procedentes de
los distintos dispositivos de seguridad, tecnologías software y activos de la empresa.
A continuación el sistema convierte y prioriza esta cantidad ingente de datos en información sobre la que se pueden tomas decisiones. José Antonio de Mena explica que antes de optar por las soluciones de seguridad de CA probaron otras herramientas de auditoria como la de Oracle y también de IBM. “Intentamos ser homogéneos en nuestra tecnología a la hora de contar con un grado máximo de adaptación de nuevas herramientas
con la parte tecnológica de nuestros sistemas. La mayor parte de nuestras bases de datos de negocio son Oracle y también tenemos sistemas mainframe de IBM”.
El proceso de implantación de identidades para los técnicos ha tenido lugar a partir del establecimiento de un repositorio común que gestiona las identidades y, en la actualidad, el departamento de servicios tecnológicos del grupo está trabajando en la implantación de la gestión de los perfiles de acceso y su propagación desde la credencial a cada una de las plataformas.
“Otro producto muy interesante a partir del momento en que entren los usuarios finales del negocio, consiste en la gestión de los perfiles”. De Mena asegura que los técnicos del departamento de servicios tecnológicos no disponen de todos los perfiles, sino únicamente los perfiles de aquellos usuarios relacionados con las tareas administrativas.
El directivo explica que el siguiente paso que acometerá el departamento informático de Cesce será extender el ASP de la gestión de identidades a todos los departamentos del grupo, incluido el negocio. “Cuando empecemos este proceso de gestión de identidades en todos los negocios veremos cómo la gestión de perfiles empezará a complicarse dada la multitud de departamentos, usuarios identidades, aplicaciones… Es donde estamos trabajando ahora”.
Además de ser proveedor de servicio de gestión de identidades para toda la compañía, lo que equivale a definir más e un millar de perfiles, el departamento que dirige José Antonio de Mena, ha trabajado en enlazar los accesos de los cerca de 190 servidores de que consta el CPD del grupo, así como del centro de contingencia situado a 20 kilómetros de distancia del CPD.
“Nosotros no administramos los elementos
desde una consola, sino que lo hacemos desde los puestos de trabajo utilizando una simulación Securit CRP de una consola para acceder a los sistemas desde un puesto cliente. Asimismo, hemos enlazado Securit CRP
con el Unicenter TNG, de modo que cuando hacemos el explorable en las máquinas con el botón derecho del ratón vemos las opciones que podemos hacer en esas máquinas, entre las que se encuentra el acceso al sistema operativo de esas máquinas y, de manera automática, al acceso de identidades”.
Las bases de datos de Grupo Cesce son gestionadas por las plataformas de Oracle y, Natural Adabas en la parte de mainframe. En la parte de VME tenemos el sistema del mismo nombre cuyo propietario es Fujitsu, y en los entornos distribuidos Unix Linux y Windows Oracle.
Windows es el sistema operativo en el que trabajan tanto los técnicos como los usuarios y los empleados corporativos de Grupo Cesde. “Tenemos Windows porque la mayoría de usuarios están instalados en Office. El negocio manda Windows y, nosotros como técnicos, hemos de homogeneizarnos con el negocio, pero no somos raros. No vamos a establecernos en sistemas abiertos o Linux cuando la tendencia es Windows. Y, si necesitamos trabajar en Linux, tenemos nuestro entorno de pruebas en Linux, Unix y ZOS. Pero nuestro puesto está definido con Office y Windows XP. Cuando Windows Vista esté consolidado iremos a por ese sistema operativo”.
El directivo señala que el valor del negocio de Grupo Cesce no se basa en una imagen corporativa con productos a vender, sino en negocios relacionados de créditos, de manera que las necesidades de Cesce se fundamentan en aspectos relacionados con la seguridad de los sistemas.
Asimismo, de Mena señala que disponen de Linux implantado de cara al mercado y el negocio. José Antonio de Mena hace alusión a los 1.100 puestos de trabajo que gestiona para la compañía a nivel informático, pero prefiere no hacer alusión al volumen y procedencia de sus clientes, ni del negocio que manejan por motivos de seguridad derivada. “Sólo puedo decir que entre nuestros clientes se encuentran todos los bancos. No nos dirigimos al gran público, sino que son siempre grandes empresas o pymes importantes”.
