Vodafone Turquía consolida un sólido programa de seguridad de la identidad

Vodafone está habituada a enfrentar un número creciente de auditorías regulatorias y de cumplimiento que evalúan aspectos como vulnerabilidades de seguridad en TI, prácticas de desarrollo de software, procesos de gestión, seguridad, impacto ambiental y otros escenarios específicos del sector.

De hecho, la empresa debe cumplir con numerosas normativas estrictas impuestas por organismos gubernamentales, entidades independientes y directrices internas. No cumplir con ellas puede acarrear multas considerables, además de afectar la confianza de los clientes y las expectativas corporativas.

Para hacer frente a estos requerimientos, Vodafone Turquía emprendió un proceso de transformación en gestión de identidades, con el objetivo de establecer un sistema robusto que responda tanto a las exigencias actuales como a las que se presenten en el futuro.

“Empezamos investigando las empresas líderes en gobernanza de accesos, guiándonos por las recomendaciones de Gartner y otras fuentes, y conversamos con empresas de Europa y Turquía que compartieron sus experiencias con nosotros”, explicó Serdar Calin, arquitecto de gobernanza de acceso y gestión de identidades de Vodafone Turquía.

Su equipo elaboró una lista corta de proveedores, entre los que se encontraba SailPoint. A cada uno se le solicitó completar una prueba de concepto (POC) con más de 200 preguntas que abarcaban flujos de trabajo complejos de solicitud de acceso, escenarios personalizados de certificación y reglas automáticas de asignación de privilegios.

SailPoint configuró un entorno temporal para la prueba y presentó sus soluciones.

“El equipo de SailPoint respondió con rapidez y nos ofreció alternativas para resolver distintos escenarios y problemas. Obtuvo la puntuación más alta durante todo el proceso y cumplió con todos nuestros requisitos para la gobernanza de accesos”, afirmó Calin. “El resultado fue que SailPoint obtuvo las puntuaciones más altas de principio a fin del proceso de prueba de concepto (POC), cumpliendo con todos nuestros requisitos de gobernanza de acceso en todos nuestros escenarios de negocio”.

Una colaboración sólida

Los resultados de la POC llevaron a Vodafone Turquía a elegir SailPoint para gestionar sus identidades y accesos (IAM).

“Usamos todas las funcionalidades de SailPoint y realmente llevamos la herramienta al límite”, comentó Calin. “SailPoint cubre cerca del 95% de nuestras necesidades. En los pocos casos donde requerimos mejoras, como la posibilidad de adjuntar archivos en los formularios de solicitud de acceso, desarrollamos una solución personalizada que luego fue incorporada a la versión siguiente del producto”.

Calin describió su experiencia como arquitecto y administrador de SailPoint para Vodafone Turquía como “increíble”, y explicó que en los seis años transcurridos desde que eligió inicialmente SailPoint, Vodafone Turquía no ha experimentado ninguna interrupción del servicio no planificada.

“Antes de iniciar esta transformación con SailPoint, usábamos un sistema personalizado de tickets para registrar las solicitudes de acceso. Pero no era un producto real de gobernanza, su función principal era registrar las solicitudes en una plataforma. Sin embargo, esas solicitudes se redujeron en más de 1.000 al usar los roles predeterminados correctos en SailPoint. Ese fue un resultado realmente positivo para nosotros”.

Asimismo, Calin dice que SailPoint tuvo un gran impacto en los tiempos de aprovisionamiento y alta de usuarios.

“SailPoint redujo el tiempo de aprovisionamiento y alta de hasta seis horas a menos de diez minutos. Fue una mejora enorme para nuestro equipo. También reemplazamos nuestro sistema manual de reportes de auditoría por reportes automatizados generados por SailPoint”.

“Antes de esta transformación, hacíamos los procesos manuales para los cambios internos. Pero SailPoint nos permitió personalizar los procesos de cambio de rol mediante certificaciones y aprovisionamiento automatizado. Ahora otorgamos todos los permisos necesarios automáticamente a las personas que cambian de rol. Tenemos más de 230.000 identidades, incluyendo empleados de tiempo completo, contratistas, agentes tercerizados de call center, distribuidores de Vodafone y sus empleados, inversionistas y cuentas de servicio. Además, usamos SAP HR como fuente autorizada para nuestro entorno SailPoint. Cuando alguien deja la empresa, podemos desactivar sus privilegios anteriores casi al instante”.

“Pero el mayor impacto para todas las partes interesadas fue la reducción del tiempo dedicado al proceso de alta. SailPoint tuvo un impacto enorme en nuestros administradores operativos al permitir el aprovisionamiento y desaprovisionamiento automático sin ninguna acción manual”.

A corto plazo, Vodafone Turquía planea integrar el módulo de Gestión de Accesos Privilegiados (PAM) de SailPoint con su entorno CyberArk. Asimismo, Calin afirma que la empresa ampliará el uso de roles de derecho de nacimiento basados​en datos de organizaciones de recursos humanos y control de inactividad en todas las aplicaciones que estén integradas con SailPoint.
Calin también ofrece asesoramiento a otras empresas que estén considerando soluciones para la gestión de identidades y el control de acceso.

“Esto debe abordarse como un programa, no como un proyecto”, señala, y agrega que se necesita paciencia en el proceso, ya que puede tomar años en completarse. “El programa no es responsabilidad exclusiva del departamento de TI, ni del de privacidad o del de seguridad de la información: involucra a toda la empresa. Por lo tanto, debe incluir a todo el personal y contar con el respaldo de los líderes de nivel ejecutivo en toda la organización, para demostrar su apoyo al programa y asegurar su éxito”.