Repetidas veces, en distintos eventos, almuerzos o simplemente conversando informalmente con otros gerentes de sistemas, suele surgir una inquietud normalmente disparada por algún directivo que quiere ingresar con su PC en forma remota a la compañía.
Básicamente el interrogante es: ¿cómo me aseguro que la PC que utiliza cumple con las normas de seguridad que no la conviertan en el eslabón más débil de mi red?
No me animaría a recomendarle a los colegas que le pidan a ese directivo colocar un cerco electrificado para que sus hijos no puedan acceder a la misma, e instalar cualquier clase de programas, con la posibilidad de virus y troyanos que eso implica (en mi opinión, esta solución no es muy saludable, ni para el trabajo de uno, ni para el hijo del directivo).
Por otro lado, si logro una forma segura de conexión, ¿no sería bueno ampliar el ofrecimiento a otras áreas de la empresa, de manera de darle a los empleados una herramienta más de trabajo? En algunos casos, hasta podría apuntar a una mejora del balance vida-trabajo, pero eso es tema de discusión para cada empresa...
¿Cómo lo hacemos en Microsoft?
Con el transcurso del tiempo, la implementación de un acceso seguro por VPN en Microsoft fue evolucionando hasta lo que es hoy...
Los dos escenarios de Riesgo y la solución de mitigación.
(Click en el gráfico para ampliar)
En honor a la brevedad, les describo el circuito (¡muy resumido!) y les ofrezco enviarles los slides de la presentación que realicé el 21 de diciembre con más información al respecto (¡incluyendo las lecciones aprendidas, para que no reinventen la rueda!):
Paso 1: El usuario ingresa a su PC con una tarjeta chip y una clave (doble autenticación, evito el riesgo de robo de la tarjeta o deducción de la clave). Ese chip contiene un certificado que permite autenticarse contra la red corporativa. ¡Por favor! No se vaya luego de leer esto, por más aburrido que suene pero es importante: utilizamos el protocolo EAP-TLS para transportar el certificado, autenticación mutua, negociación del método de encripción y de la clave a ser utilizada entre el cliente y el servidor (y otros protocolos a lo largo de la solución, desde el cliente a los servidores).
Paso 2: El servidor VPN envía la solicitud de autenticación al IAS (Internet Authentication Service).
Paso 3: IAS realiza la consulta LDAP al controlador de dominio para obtener el grupo al que pertenece el usuario y la configuración de sus permisos remotos.
Paso 4: La PC del usuario es colocada en CUARENTENA, es decir, la conexión VPN se establece pero el usuario no podrá ingresar a los recursos hasta no terminar un chequeo de salud de su PC (firewall activado, antivirus actualizado, actualizaciones de seguridad instaladas, otras acciones configuradas por el área de Sistemas etc. etc.).
Paso 5: Las revisiones (a través de scripts) terminan exitosamente y se envía la clave que permite levantar la cuarentena y permitir al usuario acceder a los recursos de la compañía.
Curiosamente, y debo confesarlo, no conocía este tipo de soluciones antes de ingresar a Microsoft, y me hubieran salvado de varios dolores de cabeza. Más allá de la solución que elija, es importante saber que esta tecnología existe en el mercado (en nuestro caso, gran parte de los componentes son diferencialmente gratuitos, por ejemplo, si el usuario ya cuenta con Windows 2003 Server instalado tendrá disponible el "Connection Manager", una de las bases de esta solución).
Más Información:
Próximamente se publicará la grabación del webcast del 21/12 en
www.microsoft.com/conosur/technet/gerentesdeit
Por otro lado, lo invito a enviarme un email (click arriba de la pantalla) si desea los slides de la presentación con el detalle de las tecnologías que utilizamos.
Finalmente, mi recomendación para este "post": Doña Lucía en San Isidro... ¡no dejen de pedir las rabas!
Así es, y la idea es que a partir de ahora contemos con este, un nuevo canal, para compartir experiencias y poder estar en contacto.
Respecto a esto, no soy una persona de ventas ni marketing, vivo el día a día como un gerente de TI de cualquier empresa, con algunas particularidades, pero en general enfrentando los mismos desafíos que Uds. (¿o las frases "optimizar costos" e "incrementar productividad" sólo se aplica a mi caso? :-))
Entre esas particularidades, una de las más notorias es la misión de mi área: "Ser el primer y mejor cliente de Microsoft" (si Ud. quiere competir intentando aplicar esta misión, nuestra gente de ventas seguro va a estar muy contenta, pero entiendo que la suya debe de haber sido alineada a los objetivos de su negocio).
¿Qué implica esta misión? Entre otras cosas, el poner en productivo las herramientas que Microsoft desarrolla mientras están en estadío beta (como fue el caso de Windows Vista y Office system 2007). La idea es que nosotros "comamos primero nuestra propia comida", probemos el producto y sugiramos mejoras y correcciones.
Bien, se dice que los "posts" de los blogs deben ser cortos, y yo voy a cumplir. Antes, aprovecho para transcribirles el slide que suelo mostrar en las charlas a las que me invitan a hablar con clientes, para darles una idea del ambiente de Microsoft dejando una salvedad: dado que mi área responsabilidad es el Cono Sur, vivo la misma realidad que el resto de las empresas en nuestros países, por lo que se pueden imaginar que la estructura es "algo" menor que la que ven a continuación.
(Click en la imagen para ampliar...)
Y finalmente, el TIP del día: Cucarda de 5 cubiertos para Elsinor, excelente restaurant en la zona de La Lucila (Buenos Aires) y 5 cucharitas para Frágola por sus helados, en Santiago de Chile...