Noticias Profesionales

Nuevas Tecnologías Aplicadas a la Seguridad

Enviar a un amigo | Imprimir

Una tarjeta única para los empleados

Indra despliega una nueva Infraestructura basada en la Certificación Electrónica

 

Indra, la compañía española de tecnologías de la información, ha comenzado el despliegue de una infraestructura de clave pública (PKI), con la consiguiente puesta en marcha de una entidad de certificación propia que abarcará la gestión completa del ciclo de vida de los certificados digitales. Como principal funcionalidad del despliegue, la nueva infraestructura permitirá la autenticación, basada en al tarjeta criptográfica, de los más de 6.000 empleados de la compañía con los sistemas de información.

La nueva infraestructura se integrará tanto con el actual sistema de personalización de tarjetas de control de presencia como con la totalidad de sistemas de información (sistemas abiertos, entorno intranet/extranet, directorio corporativo o aplicaciones de negocio) de cara a implantar un sistema de identificación única.

En el marco del proyecto Indra preparará sus sistemas de información para el uso intensivo de la firma electrónica avanzada con objeto de crear el entorno de confianza y legal necesario en las relaciones electrónicas tanto con los empleados, en una primera fase, como con proveedores, partners y clientes, posteriormente. La PKI corporativa de Indra ya se encuentra implantada, en una primera fase a punto de finalizar, dentro del colectivo de directores, gerentes y una muestra significativa de técnicos. A lo largo de 2005 se prevé que se extenderá a todos los trabajadores.

Con el desarrollo de esta nueva tarjeta única de empleado, la compañía persigue aumentar exponencialmente la seguridad en los accesos y transacciones electrónicas, así como simplificar el proceso de autentificación, no siendo ya necesario introducir usuario y contraseña, solamente el PIN (número personal) que da acceso a los certificados de la tarjeta. En la realización del proyecto, liderado por la gerencia de seguridad de sistemas internos de Indra, también participa el centro de soluciones seguridad TI de la compañía aportando su conocimiento acumulado en grandes despliegues corporativos, como los realizados para Amena, Caja Madrid, Junta de Andalucía, Ministerio de Defensa, Ministerio de Economía y Hacienda, o Red Eléctrica de España, entre otros.

«La implantación de una PKI en Indra representa una apuesta tecnológica de nuestra propia corporación para comenzar a integrar todas las nuevas tecnologías de certificación. Lo que se busca con esta nueva infraestructura es crear una plataforma que gestione el ciclo de vida de los certificados digitales, de manera que cada empleado esté identificado digitalmente y pueda hacer uso de sus certificados en todos los procesos de compañía que requieran autenticación, firma o cifrado», explica Alicia Matarranz, gerente de sistemas de Información Interna. La arquitectura de certificación proporciona el nivel de confianza necesario en las relaciones electrónicas, resolviendo mediante mecanismos criptográficos los problemas que presenta el escenario digital de autenticidad, integridad, confidencialidad y no repudio.

Cada parte de una transacción se identifica de forma unívoca mediante un certificado digital emitido por una autoridad de certificación en la que las partes confían. «En este caso, al tratarse de una PKI interna, la autoridad de certificación es la propia Indra. Se emitirán tres tipos de certificados electrónicos personales que serán los de autentificación, cifrado y firma», continúa Matarranz. Una vez que los empleados tengan una identidad digital, con la tarjeta inteligente y a través de la red corporativa, podrán autentificarse en Windows, en Indraweb o firmar y cifrar correo electrónico. «Todo esto subyace como una apuesta de Indra por incorporar la tecnología de los certificados digitales en la propia corporación», explica la gerente de Sistemas de Información.

Los nuevos sistemas de certificación se denominan infraestructura de clave pública porque consisten en un conjunto de elementos que se desarrollan a través de una plataforma tecnológica. En una misma tarjeta se engloba servicios para identificación externa con los datos personales del empleado, una fotografía y el grafismo de la tarjeta; para identificación digital con un chip criptográfico, los certificados digitales y la protección de claves privadas; y para identificación seguridad física, con banda magnética y un chip de proximidad. Es fundamental tener en cuenta que al desarrollar una infraestructura de clave pública, los sistemas o la red corporativa deberán adaptarse a la nueva infraestructura.

Por esto, es imprescindible que los equipos informáticos cuenten con un lector para la tarjeta corporativa de Indra que contiene los certificados digitales que, en principio, se puede instalar de forma externa o bien renovando todos los ordenadores por terminales cuyos teclados ya cuenten con un lector incorporado. Una vez que la tarjeta se haya introducido en el lector y antes de entrar en la Red o en Indraweb se solicita autentificación. A partir de este mismo momento se identifica al empleado.

Distintas criptografías, cifrados y certificados

«Gracias a la criptografía asimétrica (o de clave pública) dos entidades pueden transaccionar sobre un canal inseguro garantizando la confidencialidad, la integridad y el no repudio», explica Alicia Matarranz. En este tipo de criptografía, a diferencia de la simétrica, se utilizan dos claves distintas: una para cifrar el mensaje y otra para descifrarlo. Estas claves están matemáticamente relacionadas de forma que los datos cifrados con una de ellas sólo pueden ser descifrados usando la otra. En un sistema real, las dos claves asignadas a cada usuario se llaman clave pública y clave privada. La primera de ellas se distribuye de manera que todo el mundo pueda conocerla, mientras que la privada sólo es conocida por el receptor. Para firmar un documento digital, el emisor utiliza su propia clave privada residente en su tarjeta de empleado, a la que sólo él tiene acceso, lo que impide que pueda negar su autoría. La validez de la firma puede ser comprobada por cualquier persona que tenga acceso a la clave pública del autor ya que es de libre conocimiento. En la firma digital el bloque de caracteres que se añade al documento o información a firmar garantiza la identificación del emisor (autenticación), que el contenido no ha sido alterado (integridad) y que ha sido realizada por quien dice ser (no repudio). Por su parte, para cifrar un documento el emisor utiliza la clave pública del receptor y solo él a través de su clave privada puede descifrarlo. Es en este hecho donde encontramos la diferencia entre enviar un documento cifrado o firmado. Mientras, la firma electrónica garantiza la autenticación, integridad y no repudio. El cifrado garantiza la confidencialidad, de manera que el mensaje solo puede ser leído por el destinatario al que va dirigido. Por último, un certificado digital surge de la necesidad de dar confianza a las partes y por tanto de relacionar la clave pública con una entidad jurídica.

 

Fuente: La Razón
19.12.04

Noticias relacionadas:

* Entrevista: Javier Muñoz Molina, Director de Seguridad de Indra (04.10.04)
* Indra, aliado de los sistemas lusos de seguridad fronteriza (30.07.04)
* Indra gana en EEUU un contrato de Defensa de 13 millones de euros (23.07.04)
* Macrocontrato de la OTAN para un grupo participado por Indra (26.04.04)
* Izar, Indra y Lockheed Martin ultiman un convenio con Defensa por unos 700 millones de euros (25.02.04)
*La OTAN instala una plataforma para que las empresas puedan concursar por Internet (13.01.04)
* Indra diseñará el sistema español de defensa antiaérea por 177,3 millones (23.10.03)

© BELT.ES  Copyright. Belt Ibérica, S.A. Madrid - 2004. belt@belt.es