Antes de comenzar el proyecto, Sanitas presentaba una problemática de seguridad distribuida en diferentes sistemas, con personal específico para cada una de las plataformas y con múltiples contraseñas de acceso a los datos. La falta de control inherente a esta dispersidad, junto a las dificultades para gestionar e implantar las medidas técnicas fijadas en la Ley Orgánica de Protección de Datos (LOPD), llevaron a la compañía a optar por una solución de seguridad global y de mercado que facilitase la implantación de soluciones parciales, al tiempo que evolucionar hacia una solución completa de Single Sign-ON.
Entre las principales ventajas del proyecto, Sanitas ha reducido al máximo el tiempo de tramitación de peticiones internas de seguridad y de administración de usuarios, gracias a una gestión integral de los derechos de acceso según perfiles de usuario y a una gestión de los accesos a los distintos recursos informáticos.
Hasta la fecha, la solución Irene, desarrollada por el grupo SIA, se ha implantado casi en su totalidad, aportando a Sanitas una gestión más ágil de los sistemas de información, una reducción de los periodos de inactividad y un incremento, por tanto, de la productividad. Paralelamente, la plataforma ha permitido dar una respuesta a las necesidades de identificador único general y, al mismo tiempo, sentar las bases tecnológicas para ofrecer servicios avanzados tales como firma digital, confidencialidad, etc. Según Marián Perdiguero, directora de Ingeniería del Software en Sanitas: elegimos la solución de SIA por su adecuada oferta de servicios y tecnologías. Ya hemos completado las primeras fases del despliegue y esperamos disponer de una solución completa de gestión centralizada de usuarios una vez que lo finalicemos. Mediante la solución aportamos un alto grado de automatización y facilitamos una administración delegada tanto a los responsables de negocio como a los administradores de los entornos.
En la fase conceptual del proyecto, Sanitas realizó la catalogación de sus activos informáticos, estableció los niveles de riesgo asumibles para cada uno de ellos y fijó las políticas de control de acceso a los distintos componentes. A partir de ahí comenzó la etapa de selección de la herramienta: hace dos años, las plataformas de gestión de la seguridad eran lo suficientemente robustas y maduras como para pensar en desarrollos propios. Implantar un producto estándar nos ofrece confianza en la actualización permanente de las funcionalidades de la solución. En un futuro próximo queremos crear una infraestructura completa de PKI e integrar la firma digital, algo que no sería posible sin una solución global y estándar de seguridad, asegura Perdiguero.
Durante el proceso de estudio, Sanitas analizó un conjunto de buenas soluciones, aunque había importantes diferencias en cuanto a la experiencia de implantación y capacidad de soporte por parte de los integradores. Si las características técnicas eran importantes, también lo eran la capacidad de evolución de la solución y la integración con los diferentes entornos de sistemas implantados en Sanitas. El despliegue comenzó en octubre de 2002 y después de un año podemos decir que estmaos en la fase de explotación regular y que hemos logrado importantes beneficios desde el punto de vista de la seguridad y del negocio, dado que hemos dado un paso importante para mejorar la visibilidad de los responsables de negocio respecto a la gestión de los accesos y recursos, comenta la responsable de seguridad.
El proyecto se inició con la integración de las plataformas Windows (XP) que conforman el puesto de trabajo de la empresa; siguió por la solución de correo electrónico (Netscape); avanzó por los sistemas data warehouse e incorporó posteriormente la solución corporativa PeopleSoft (finanzas, RR HH, almacenes y compras). Para el año que viene, Irene cubrirá también el transaccional de negocio Bravo de la compañía.
Ahora la compañía dispone de la información necesaria sobre el acceso a los datos, de unos procesos automatizados gracias a las herramientas de workflow que incorpora la solución y de una administración centralizada que facilita una visión global de la seguridad capaz de detectar inmediatamente cualquier aplicación errónea de las políticas definidas en este área.
