INTRODUCCION La Superintendencia de Pensiones (SUPEN)

Transcripción

1 INTRODUCCION La Superintendencia de Pensiones (SUPEN) es la entidad responsable de la regulación, fiscalización y supervisión de los regímenes básicos de pensiones y los regímenes complementarios, en este último caso se incluyen tanto los fondos administrados por las operadoras de pensiones complementarias (OPC) como los fondos creados por leyes especiales o convenciones colectivas. Además la SUPEN debe supervisar lo relacionado con los fondos de capitalización laboral. Actualmente, la SUPEN cuenta con una extranet que presta una serie de servicios a los entes supervisados, entre ellos la transmisión de archivos con información de los afiliados. Esta extranet está presentando problemas en la velocidad de transmisión y la seguridad de los datos transmitidos. Por estos motivos, se promovió y desarrolló una nueva interfaz para la extranet para así ofrecer un mejor servicio a los entes supervisados. En vista de que la SUPEN está próxima a poner en funcionamiento dicha interfaz se busca definir el mejor diseño de conectividad que permita optimizar el funcionamiento de dicha extranet. Se pretende diseñar una solución de comunicación que permita a la SUPEN integrar los servicios prestados a terceros buscando una mejor velocidad de transmisión de datos, seguridad en la comunicación, accesibilidad y oportunidades de crecimiento a mediano plazo. La Superintendencia de Pensiones (SUPEN) La Superintendencia de Pensiones (SUPEN) es la entidad responsable de la regulación, fiscalización y supervisión de los regímenes básicos de pensiones y los regímenes complementarios, en este último caso se incluyen tanto los 1

2 fondos administrados por las operadoras de pensiones complementarias (OPC) como los fondos creados por leyes especiales o convenciones colectivas. Además la SUPEN debe supervisar lo relacionado con los fondos de capitalización laboral. La SUPEN es un órgano de máxima desconcentración y adscrito al Banco Central de Costa Rica. Funciona bajo la dirección del Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF). El marco jurídico en que se desenvuelve la SUPEN está establecido básicamente en las siguientes leyes: Ley 7523, Ley del Régimen Privado de Pensiones Complementarias y sus reformas. Ley 7732, Ley Reguladora del Mercado de Valores. Ley 7983, Ley de Protección al Trabajador. Breve Historia La Ley del Régimen Privado de Pensiones Complementarias, No del 7 de julio de 1995, autorizó la creación de los sistemas o planes privados de pensiones complementarias y de ahorro individual, destinados a brindar a los beneficiarios protección complementaria ante los riesgos de la vejez y la muerte. Dicha ley creó la Superintendencia de Pensiones, la cual empezó a funcionar a partir de agosto de Durante los primeros cuatro años de existencia el objetivo principal de la entidad fue la regulación y fiscalización del régimen de capitalización individual y las entidades administradoras de estos fondos, denominadas operadoras de pensiones complementarias (OPC). A partir de la aprobación de la Ley de Protección al Trabajador, No del 18 de febrero del 2000, el ámbito de acción de la Superintendencia varió considerablemente. Quedaron bajo la supervisión de la SUPEN los regímenes 2

3 básicos de pensiones, tanto el Régimen de Invalidez, Vejez y Muerte de la Caja Costarricense de Seguro Social (CCSS) como los otros regímenes especiales sustitutos de este, los otros fondos complementarios de pensiones creados por leyes especiales o convenciones colectivas y el Régimen No Contributivo de la CCSS. Por otra parte, a la SUPEN le fue encargada la regulación y supervisión de los nuevos regímenes que creó la Ley de Protección al Trabajador, a saber: el Régimen Obligatorio de Pensiones Complementarias y los Fondos de Capitalización Laboral, ambos basados en sistemas de capitalización individual. Además, la nueva Ley le asignó la obligación de velar por el otorgamiento de los beneficios a los afiliados al sistema de pensiones por parte de las entidades autorizadas, aspecto que no estaba contemplado en la legislación anterior. Por último la Ley de Contingencia Fiscal, Ley No del 18 de diciembre del 2002, modificó la Ley 7523, para encargar a la SUPEN la fiscalización y supervisión de la labor realizada por la Dirección Nacional de Pensiones del Ministerio de Trabajo y Seguridad Social, en el otorgamiento de las pensiones con cargo al presupuesto nacional, en relación con la legalidad y oportunidad de las resoluciones y en lo relativo a las modificaciones y revalorizaciones de las pensiones que son competencia de la mencionada Dirección. Misión Regular, supervisar y fiscalizar el sistema nacional de pensiones, propiciando un marco normativo basado en principios y normas internacionales que promueva la sana administración de los recursos. Para ello ejecutamos nuestras labores apoyados en personal calificado y comprometido con valores éticos y morales, tecnología de avanzada, así como en el fomento de una cultura de la previsión. 3

4 Visión Velar porque los miembros de la sociedad costarricense dispongan de una prestación ante las contingencias de la invalidez, vejez y muerte. Principales funciones de la SUPEN Mantener un marco regulatorio que permita el funcionamiento ordenado del Sistema de Pensiones y defina claramente el rol de los participantes. Regular, autorizar, fiscalizar y supervisar los planes, fondos y regímenes contemplados en la Ley de Protección al Trabajador, además de los creados por leyes especiales u otros regímenes de carácter público y la actividad de las operadoras de pensiones y otros entes autorizados para administrar los fondos creados por dicha Ley. Velar por la seguridad de los recursos que administran las entidades supervisadas, por el cumplimiento de las leyes y reglamentos vigentes, por el correcto registro de las actividades y operaciones de los entes autorizados y de las personas físicas o jurídicas que intervengan en los actos o contratos relacionados con lo dispuesto en la Ley del Protección al Trabajador. Comprobar y evaluar la estabilidad, solvencia y rentabilidad de los fondos administrados en los diferentes regímenes y de las entidades supervisadas. Velar por los derechos y beneficios de los afiliados a los fondos de pensiones complementarias. Valores estratégicos de la institución Servicio al Cliente Estar orientados al cliente, ser disciplinados y responsables, mantener buenas relaciones interpersonales. 4

5 Mejoramiento Continuo Tener sentido analítico, iniciativa, habilidad o disponibilidad para el aprendizaje y disponibilidad al cambio. Trabajo en Equipo Disponibilidad para el trabajo en equipo. Credibilidad Ser comprometidos, leales, honestos y actuar con discreción. Calidad Humana y Profesional Rigurosidad técnica en función del beneficio social. Necesidades de comunicación de la SUPEN Se pretende diseñar una solución de comunicación que permita a la SUPEN integrar los servicios prestados a terceros buscando una mejor velocidad de transmisión de datos, seguridad en la comunicación, accesibilidad y oportunidades de crecimiento a mediano plazo. Figura # 1 Relación de la Supen con entes supervisados Entidades supervisadas que reportan periódicamente información a la SUPEN Entidades que forman parte del sistema financiero, con las que la SUPEN tiene un intercambio de información. OPC y Fondos BCCR SUGEVAL Regímenes Básicos y Complementarios Riesgos del Trabajo SUPEN SUGEF CCSS (SICERE) BNV TSE Fuente: Departamento Tecnologías de Información, SUPEN. 5

6 DIAGNÓSTICO DE LA RED ACTUAL Actualmente, la SUPEN cuenta con una extranet que presta una serie de servicios a los entes supervisados, entre ellos la transmisión de archivos con información de los afiliados. Esta extranet está presentando problemas en la velocidad de transmisión y la seguridad de los datos transmitidos. Por estos motivos, se promovió y desarrolló una nueva interfaz para la extranet para así ofrecer un mejor servicio a los entes supervisados. En vista de que la SUPEN está próxima a poner en funcionamiento dicha interfaz se busca definir el mejor diseño de conectividad que permita optimizar el funcionamiento de dicha extranet. Red Actual Bolsa Nacional de Valores (BNV) Actualmente la Supen cuenta con una red LAN de 100Mbps. Esta red interna está conectada con una línea dedicada a SICERE (Sistema Centralizado de Recaudación de la CCSS) a una velocidad de 2Mbps. Además los fondos se conectan vía módem (por línea telefónica) a una velocidad de 56Kbps a la red de la Supen (una velocidad demasiado baja para el uso que se le da). Por otro lado, la Supen está conectada a través de una línea dedicada de 2Mbps a la red de la Bolsa Nacional de Valores (BNV), la cual le alquila a la Supen líneas dedicadas de 128 Kbps para que las operadoras se conecten con la Supen. 6

7 Figura # 2 Diseño actual de conectividad de la Supen Fuente: Departamento Tecnologías de Información, SUPEN. Problemas Actuales Actualmente se paga una suma anual muy elevada por el alquiler del servicio de red a la Bolsa Nacional de Valores (BNV), y al ser la única red con que se cuenta se tiene una peligrosa dependencia con dicha entidad. No se cuenta con un diseño de conectividad que permita conectar a todas las entidades supervisadas por la Supen con la misma infraestructura de comunicaciones. 7

8 La transmisión de archivos de alto volumen (afiliados) se realiza desde las instalaciones de la Supen, es decir, que el personal de los entes supervisados debe trasladarse hasta la Supen para poder cargar los archivos. El ancho de banda no es el recomendado para la transmisión de dicha información, ya que los archivos de afiliados son archivos de alto volumen de información. La Seguridad necesaria durante el envío de información de las entidades supervisadas no existe. Se carece de un canal seguro de comunicación y la información no va encriptada. Las inversiones y gastos por la conectividad actual de las entidades supervisadas con la superintendencia se desea eliminar. El tiempo de dedicación a tareas de control y monitoreo de red es alto dado que el ancho de banda tan poco, las transmisión duro mucho tiempo y falla algunas veces. El tiempo de carga de datos es muy extenso. El ingreso de información para las entidades supervisadas es bastante tedioso. No existe un alto nivel de integración entre sistemas y conectividad. Las entidades deben venir a cargar los archivos a la Supen por lo que el horario para transmitir se reduce a de Lunes a Viernes de 9:00 a.m a 5:00 p.m. Para los archivos recibidos no se tiene un acuse de recibo. 8

9 ALTERNATIVAS DE SOLUCIÓN Solución # 1: Una solución que se podría implementar, sería que la Supen se conectara a 100 Mbps a la red privada virtual (VPN) del Sistema Interbancario de Negociación y Pagos Electrónicos (SINPE) del Banco Central de Costa Rica y a través de esta VPN ofreciera un servicio a los fondos a una velocidad de 256 Kbps y un servicio a las operadoras a 1 ó 2 Mbps dependiendo de la velocidad a la cual puedan conectarse las operadoras. Además la conexión al SICERE seguiría siendo directa a la red LAN de la Supen y a una velocidad de 2 Mbps. Figura # 3 Red Propuesta SINPE (Solución 1) Fuente: Departamento Tecnologías de Información, SUPEN. 9

10 Esta solución de conectividad podría ser implementada en un plazo de 6 meses, ya que no habría que montar un diseño de conectividad nuevo, sino que solamente la Supen se pegaría a la VPN de SINPE que también pertenece al BCCR. Al pertenecer SINPE al BCCR al igual que la Supen ya no habría que pagar alquiler del servicio y se mejorarían los anchos de banda para la transferencia de datos, pero siempre existiría la dependencia de otra entidad, aunque a diferencia de la BNV, el SINPE también pertenece al BCCR. Ventajas y desventajas Dentro de las ventajas que se pueden mencionar de esta solución se encuentran: Rapidez de la implementación: El plazo de implementación sería de 6 meses ya que no requiere de un nuevo diseño de conectividad. Mayor velocidad (Ancho de Banda): Con esta solución, el ancho de banda de los fondos subiría de 56Kbps con una conexión telefónica a 256 Kbps con líneas dedicadas; mientras que la conexión de las operadoras subiría de 128 Kbps a 1 ó 2 Mbps según la velocidad de conexión de cada operadora. No hay costos de equipos y líneas de comunicación: Por pertenecer el SINPE al BCCR al igual que la Supen, se puede hacer uso de la infraestructura de conectividad de SINPE sin costo alguno. Aprovechamiento de recursos humanos, técnicos y de equipo del SINPE: Si se utiliza este diseño de conectividad, en caso de que ocurran problemas de conexión en la VPN de SINPE se podría recurrir al personal de dicha institución para que ayude a solucionar el problema, ya que al fin 10

11 de cuentas todos trabajan para el BCCR y lo que se busca es ofrecer el mejor servicio del banco a los usuarios. Mayor cantidad de usuarios: Debido al incremento en los anchos de banda, la cantidad de usuarios que utilicen los servicios al mismo tiempo puede ser mayor sin causar ninguna complicación. Por otro lado, dentro de las desventajas que se pueden mencionar para esta solución se encuentran: Horarios nocturnos propuestos: Por depender del SINPE directamente, los entes supervisados deberían de ajustarse a los horarios que puedan asignarle a la Supen para hacer la transferencia de archivos con el fin de que no se entorpezcan las labores propias ni los servicios prestados por SINPE. Traslado de información alto volumen: Debido a que la información que transmiten los entes supervisados es de muy alto volumen, el ancho de banda de la VPN de SINPE puede reducirse considerablemente. Dependencia del SINPE: Como se puede observar, este es el mayor problema de esta solución, ya que se dependería al 100% de la VPN de SINPE y si se da un error en dicha VPN, habría que esperar a que el personal de SINPE solucione el problema, ya que el personal de la Supen no va a poder hacer nada al respecto. Nivel de prioridad de SUPEN dentro del SINPE: Otro problema es que no se tiene definido un nivel de prioridad para la Supen dentro de la VPN de SINPE, por lo que los servicios ofrecidos por la Supen a los entes supervisados estarían en segundo plano luego de todas las funcionalidades de SINPE. 11

12 Solución # 2: Otra solución que la Supen podría implementar según los fines que se desean alcanzar, sería que la propia Supen obtenga una VPN por medio de la cual podría centralizar sus servicios ya sea a SICERE, a los fondos y a las operadoras. Mediante esta solución la Supen podría aumentar a 256 Kbps la conexión a los fondos y podría aumentar a 1 ó 2 Mbps la conexión a las operadoras dependiendo de la velocidad a la cual pueda conectarse cada operadora. Además la conexión al SICERE seguiría siendo directa a la red LAN de la Supen y a una velocidad de 2 Mbps. Todos estos servicios serían ofrecidos a través de la VPN de la Supen. Figura # 4 Red Propuesta SUPEN (Solución 2) Fuente: Departamento Tecnologías de Información, SUPEN. 12

13 Como se puede observar, para implementar esta solución se requiere más tiempo, dinero y esfuerzo pero una vez instalada la VPN se centralizarán los servicios en una misma plataforma la cual será para uso exclusivo de la Supen. El tiempo estimado para implementar esta solución es de aproximadamente un año. Ventajas y desventajas Dentro de las ventajas que se pueden mencionar acerca de esta solución se encuentran: Administración y equipos propios: Como la solución completa sería en base a la Supen, el diseño de conectividad completo pertenecería exclusivamente a la Supen, por lo que todo el hardware, software y soporte técnico sería de la Supen. Independencia de la BNV y de SINPE: Una de las ventajas principales es que no se dependería de ninguna otra institución para poner en funcionamiento el diseño de conectividad. No hay más pago de mensualidad: Si se implementa esta solución se elimina el pago de alquiler por el uso de la red de la BNV ya que toda la solución pertenecería a la Supen. Mayor velocidad: Con la implementación de este diseño de conectividad la Supen a través de esta VPN ofrecería un servicio a los fondos a una velocidad de 256 Kbps y un servicio a las operadoras a 1 ó 2 Mbps dependiendo de la velocidad a la cual puedan conectarse las operadoras. Además la conexión al SICERE seguiría siendo directa a la red de la Supen y a una velocidad de 2 Mbps. 13

14 Encriptación: La información no viajaría de forma legible para terceros ya que viajaría encriptada por lo que se podría garantizar que la información recibida es 100% confiable. Canal seguro: La VPN provee un canal seguro para que los entes supervisados transfieran la información solicitada a los mismos. Se puede asegurar que ningún intruso puede capturar dicha información mientras se trasfiere. Por otro lado, se pueden mencionar las siguientes desventajas: Alta inversión inicial: Como todo diseño de conectividad nuevo, se requiere una inversión inicial para ponerlo en funcionamiento, pero teniendo en cuenta que por años se han pagado elevadas sumas de dinero por concepto de alquiler de la red, no sería tan duro el golpe económico si esas cantidades que se pagan por alquiler se invirtieran en la implementación de este diseño. El cual una vez implementado, no va a requerir mayor inversión monetaria. Adquisición de equipos y líneas de comunicación: Para implementar esta solución se tendría que adquirir un software para configurar el VPN y se tendría que comprar hardware para que los usuarios que se van a conectar a dicha VPN se autentiquen. Falta capacitación a personal de SUPEN: El personal de la Supen debe ser capacitado para reparar cualquier error de conectividad que sufra la VPN. Tiempo de prueba: Se debe tener un tiempo aproximado a tres meses de prueba para poder ofrecer el servicio a los entes supervisados. 14

15 DISEÑO PROPUESTO Una vez consideradas las ventajas y desventajas de las dos propuestas anteriores se considera que según las necesidades de independencia, seguridad y administración que necesita actualmente la Supen sobre dichas conexiones y tomando en cuenta que el dinero no es mayor inconveniente, se puede establecer que la mejor opción en este caso es la propuesta # 2. Como se mencionó anteriormente, esta propuesta se basa en implementar una VPN para la Supen, pero antes de analizar la implementación de la VPN se debe explicar qué es una VPN, cómo es que funciona y cuáles son sus ventajas. Qué es una VPN? Una red privada virtual (VPN por sus siglas en inglés -Virtual Private Network) es una red privada de datos que hace uso de una infraestructura pública de telecomunicaciones como podría ser Internet, manteniendo la privacidad a través del uso de un protocolo de túneles y de procedimientos de seguridad. Una red privada virtual puede ser comparada con un sistema privado de telecomunicaciones que utiliza líneas propias o alquiladas y que sólo puede ser utilizada por una compañía. Una vez que las redes están conectadas es transparente para los usuarios. La seguridad en la comunicación entre las redes privadas es imprescindible, se hace necesaria una forma de cambiar los datos codificados, de forma que si fuesen capturados durante la transmisión no puedan ser descifrados. Los datos transitan codificados por Internet en " Túneles Virtuales" creados por dispositivos VPNs que utilizan criptografía; y esos dispositivos que son capaces de "entender" los datos codificados. 15

16 La principal motivación para la implantación de las VPNs es la financiera: los enlaces dedicados son demasiados caros, principalmente cuando las distancias son largas. Por otro lado existe Internet, que por ser una red de alcance mundial, tiene puntos de presencia diseminados por el mundo. Las conexiones con Internet tienen un coste más bajo que los enlaces dedicados, principalmente cuando las distancias son largas. VPN habilita a los usuarios para trabajar en sus hogares o en sus compañías conectadas de una forma segura con el servidor corporativo usando la infraestructura provista por la red pública (como internet). Desde el punto de vista del usuario, la VPN es una conexión entre el usuario y el servidor corporativo. La naturaleza de la interconexión que está en el medio de los dos es transparente para el usuario ya que los datos le aparecen como si fueran enviados a través de su red LAN, como si estuviera en la empresa. También habilita a las empresas a tener conectadas oficinas centrales con sus sucursales sobre cualquier red pública (como internet), mientras se mantienen conexiones seguras. La VPN se conecta a través de la red internet, formando una red WAN (Wide Area Network) entre los sitios conectados. En ambos casos, la seguridad de la conexión a través de la red internet de forma lógica, aparece en el usuario como si fuera virtualmente una red privada tipo LAN. Pero trabajando sobre una red pública. Lo que genera el nombre de RED PRIVADA VIRTUAL. Cómo funciona una VPN? La forma de comunicación entre las partes de la red privada a través de la red pública se hace estableciendo túneles virtuales entre dos puntos para los cuales se negocian esquemas de encriptación y autentificación que aseguran la confidencialidad e integridad de los datos transmitidos utilizando la red pública. Como se usan redes públicas, en general Internet, es necesario prestar debida 16

17 atención a las cuestiones de seguridad que se aborda a través de estos esquemas de encriptación y autentificación. La tecnología de túneles ( Tunneling ) es un modo de transferir datos en la que se encapsula un tipo de paquetes de datos dentro del paquete de datos de algún protocolo. Al llegar al destino, el paquete original es desempaquetado volviendo así a su estado original. En el traslado a través de Internet, los paquetes viajan encriptados. Dentro de los protocolos que se usan para la metodología de túneles se encuentran: Point-to-Point Tunneling Protocol (PPTP) Layer-2 Fowarding Protocol (L2FP) El modo túnel de IPSec: Es el protocolo más usado para la encriptación dentro de las VPNs ya que provee encriptación a nivel de IP. Entre los servicios de seguridad definidos en IPSec se encuentran, control de acceso, integridad de datos, autenticación del origen de los datos, protección anti repetición y confidencialidad en los datos. Entre las ventajas de IPSec están la modularidad del protocolo, ya que no depende de un algoritmo criptográfico específico. Figura # 5 Redes Virtuales Privadas Fuente: 17

18 Por otro lado, las técnicas de autenticación son esenciales en las VPNs, ya que aseguran a los participantes de la misma que están intercambiando información con el usuario o dispositivo correcto. La autenticación en VPNs es conceptualmente parecido al logeo en un sistema como nombre de usuario y contraseña, pero con necesidades mayores de aseguramiento de validación de identidades. La mayoría de los sistemas de autenticación usados en VPN están basados en un sistema de claves compartidas. La autenticación es llevada a cabo generalmente al inicio de una sesión, y luego aleatoriamente durante el curso de la misma, para asegurar que no haya algún tercer participante que se haya entrometido en la conversación. La autenticación también puede ser usada para asegurar la integridad de los datos. Los datos son procesados con un algoritmo de hashing para derivar un valor incluido en el mensaje como checksum. Cualquier desviación en el checksum indica que los datos fueron corruptos en la transmisión o interceptados y modificados en el camino. Ejemplos de sistemas de autenticación son: Challenge Handshake Authentication Protocol (CHAP) RSA SafeWord Además, todas las VPNs tienen algún tipo de tecnología de encriptación, que esencialmente empaqueta los datos en un paquete seguro. La encriptación es considerada tan esencial como la autenticación, ya que protege los datos transportados de la poder ser vistos y entendidos en el viaje de un extremo a otro de la conexión. En las VPNs, la encriptación debe ser realizada en tiempo real. Existen dos tipos de técnicas de encriptación que se usan en las VPN: 18

19 encriptación de clave secreta o privada encriptación de clave pública En la encriptación de clave secreta o privada, se utiliza una contraseña secreta conocida por todos los participantes que necesitan acceso a la información encriptada. Dicha contraseña se utiliza tanto para encriptar como para desencriptar la información. Este tipo de encriptación posee el problema que, como la contraseña es compartida por todos los participantes y debe mantenerse secreta, al ser revelada, debe ser cambiada y distribuida a los participantes, con lo cual se puede crear de esta manera algún problema de seguridad. La encriptación de clave pública implica la utilización de dos claves, una pública y una secreta. La primera es enviada a los demás participantes. Al encriptar, se usa la clave privada propia y la clave pública del otro participante de la conversación. Al recibir la información, ésta es desencriptada usando su propia clave privada y la pública del generador de la información. La gran desventaja de este tipo de encriptación es que resulta ser más lenta que la de clave secreta, pero es un método más seguro. Ventajas de las VPNs Autenticación y autorización: Quién está del otro lado? Usuario/equipo y qué nivel de acceso debe tener. Integridad: La garantía de que los datos enviados no han sido alterados. Confidencialidad: Dado que los datos viajan a través de un medio potencialmente hostil como Internet, los mismos son susceptibles de interceptación, por lo que es fundamental el cifrado de los mismos. De este modo, la información no debe poder ser interpretada por nadie más que los destinatarios de la misma. Dentro de las ventajas más significativas podremos mencionar la integridad, confidencialidad y seguridad de los datos. 19

20 Reducción de costos. Sencilla de usar. Sencilla instalación del cliente en cualquier PC Windows. Control de Acceso basado en políticas de la organización Herramientas de diagnostico remoto. Los algoritmos de compresión optimizan el tráfico del cliente. Evita el alto costo de las actualizaciones y mantenimiento a las PC s remotas. 20

21 REQUERIMIENTOS DE EQUIPAMIENTO PARA LA IMPLEMENTACIÓN Para implementar la VPN en la Supen se requerirá: Un servidor en la Supen con Active Directory. Un software de autenticación fuerte (token). Modificar la configuración del router externo (firewall). Software de cliente de VPN para cada ente supervisado. Dado que el router externo de la Supen es de marca Cisco, se optará por seleccionar software compatible con este tipo de equipo. Servidor en la Supen con Active Directory Actualmente la Supen cuenta con un servidor disponible para la implementación de la VPN, él mismo cuenta Active Directory para configurar los usuarios de los entes supervisados que se conectaran a la VPN. Software de Autenticación Fuerte El método de autenticación más adecuado mediante la utilización de un sistema de autenticación fuerte. Estos sistemas se basan en la combinación de dos factores: el token y el password. De esta forma se asegura que sólo los usuarios autorizados acceden a la VPN de la organización. El software de autenticación que se utilizará será el SafeWord RemoteAccess que da a la red una solución de autentificación fuerte para proteger las VPN de marca Cisco. Este software gestiona los permisos a través del Active Directory del servidor de la Supen. 21

22 Muchas organizaciones identifican a sus usuarios con solo un Password, pero confiar toda la seguridad de una empresa es un riesgo muy grande en estos momentos. Los Passwords pueden ser fácilmente descubiertos usando una gran variedad de Técnicas incluyendo Sniffing, Fuerza Bruta, Ataques de Diccionario, Ingeniería Social, etc Los tokens de SafeWord provén de Códigos de acceso de un único uso eliminando cualquier posibilidad de ataque. Esto se logra ya que los tokens generan nuevas contraseñas con cada petición del usuario para garantizar la seguridad de los accesos. Figura # 6 Tokens Fuente: A cada ente supervisado se le entregará un token como el mostrado en la figura # 6, el cual cada vez que el usuario necesite conectarse a la VPN generará un password distinto. A la hora de conectarse a la VPN el usuario deberá digitar este password junto con un password estático definido por la Supen que será entregado a cada ente supervisado. 22

23 Modificar la configuración del router externo (firewall) Se configuraron cuatro listas de acceso que permiten el tráfico IP en la red de la Supen para la VPN (las direcciones IP fueron modificadas por razones de seguridad). La primera y tercera listas de acceso permiten a cualquier computadora del rango indicado conectarse a cualquier servidor de la Supen. La segunda y cuarta listas de acceso permiten a cualquier computadora del rango indicado conectarse con el servidor de la VPN. access-list VPN permit ip x y access-list VPN permit ip host x y access-list VpnClientSplit permit ip x y access-list VpnClientSplit-OP permit ip host x y Luego se define un Network Access Translation (NAT) de entrada que permite a los rangos de direcciones IP definidas anteriormente conectarse a la VPN. nat (inside) 0 access-list VPN Después se define RADIUS como el protocolo de autentificación y autorización para aplicaciones de acceso a la VPN y sus características de funcionamiento más importantes. aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server RADIUS (inside) host x %r2d$37% timeout 10 Seguidamente se define una entrada IPSEC donde se asigna isakmp como el protocolo IKE (Internet Key Exchange) para asegurar el canal de comunicación entre los dos puntos y RADIUS se asigna como el protocolo de autentificación y autorización para aplicaciones de acceso a la VPN. 23

24 crypto map VPN 50 ipsec-isakmp dynamic DYMAP crypto map VPN client authentication RADIUS crypto map VPN interface outside Luego se definen dos tipos de usuarios con sus respectivos passwords encriptados. Uno que será utilizado por los funcionarios de la Supen que utilicen la VPN y otro para los funcionarios de las operadoras, los cuales sólo serán autorizados para que transfieran datos pero no para que se peguen a la LAN de la Supen. vpngroup SUPEN address-pool IP-VPN-POOL vpngroup SUPEN dns-server z vpngroup SUPEN default-domain supen.local vpngroup SUPEN split-tunnel VpnClientSplit vpngroup SUPEN split-dns supen.local vpngroup SUPEN idle-time 1800 vpngroup SUPEN password ******** vpngroup SUPEN-OP address-pool IP-VPN-POOL-OP vpngroup SUPEN-OP split-tunnel VpnClientSplit-OP vpngroup SUPEN-OP idle-time 1800 vpngroup SUPEN-OP password ******** username vpn-supen password 94DTre3EBsS5lF1c encrypted privilege 1 Software de cliente de VPN para cada ente supervisado En los entes supervisados, en cada equipo remoto se instalará un cliente de software de la VPN que permitirá a dicho equipo actuar como un firewall y generará túneles encriptados para permitir establecer los vínculos de la red privada virtual. El software cliente que se instalará en los entes será el VPN Client versión de Cisco Systems. El instalador de este software es de 10Mb y se quemará en un CD junto una carpeta llamada profiles (pre configurada por 24

25 personal de Tecnologías de la Supen) para entregar un CD a cada ente supervisado. En los entes supervisados, el personal de Tecnologías de Información solamente deberá de instalar el software con todas las opciones predeterminadas que va proporcionando y una vez instalado el cliente, se debe copiar la carpeta profiles del CD en la ruta C:\Program Files\Cisco Systems\VPN Client. Una vez que el personal de los entes ejecute el software instalado (VPN Client) se mostrará la pantalla de conexión con la configuración de los perfiles a utilizar. Figura # 7 Cliente VPN Fuente: Departamento Tecnologías de Información, SUPEN. Para realizar la conexión solamente se debe de seleccionar el perfil VPN Supervisado, presionar el botón Connect y a continuación se les solicita el password, donde se deberá digital el password estático dado por la Supen junto con el password generado por el token en ese momento y se procede a la conexión. 25

26 FLUJO DE INFORMACIÓN PROPUESTO Una vez implementada la VPN en la Supen, este es el modelo que refleja cómo va a ser el flujo de información desde los entes supervisados hasta el centro de cómputo de la Supen. Figura # 8 Flujo de información propuesto Documentos Información Supervisados Plantillas Electrónicas Saldos Contables, Inversiones y Afiliados Archivo de Envío (XML) Archivo de Envío Firmado Entidad Supervisada Ventanilla Virtual SUPEN VPN Extranet Servicios de Control Servicios de Administración Datawarehouse Verificación Normativa SUPEN Sistema Cargador Fuente: Departamento Tecnologías de Información, SUPEN. Como vemos, del lado del ente supervisado se maneja la información de los afiliados en formatos de Word y/o Excel. Por medio de una aplicación desarrollada por la Supen para ese fin, estos archivos se cambian a formato XML y se firman digitalmente. Cuando dicho archivo es convertido al formato solicitado por la Supen, el personal de la entidad supervisada se conecta a la VPN de la Supen a través 26

27 del software cliente de VPN instalado. Posteriormente digita el password estático asignado por la Supen y luego el password que le muestre el token que se les proveerá. Una vez conectada a la VPN, el personal de la entidad supervisada ejecuta otra aplicación desarrollada por la Supen, llamada Ventanilla Virtual (VES) que carga dicha información de los servidores de la Supen para que dicha información pueda ser procesada y analizada por el personal encargado de dicha función. Como vemos, una vez implementada la solución que se propone, el diseño de conectividad entre la Supen y los entes supervisados: - Permitirá disfrutar de una conexión a red con todas las características de la red privada de la Supen a los entes supervisados. - El cliente VPN adquiere totalmente la condición de miembro de esa red, con lo cual se le aplican todas las directivas de seguridad y permisos de un ordenador en esa red privada, pudiendo acceder a la información publicada para esa red privada: bases de datos, documentos internos, etc. a través de un acceso público; siempre y cuando el administrador así lo habilite según las necesidades. - Todas las conexiones de acceso a Internet desde el cliente VPN se realizaran usando los recursos y conexiones que tenga la red privada de la Supen. - Se reducen los costes en los sistemas de comunicación de la empresa con los entes supervisados. - Se diversifican los tipos de conexiones con las que podemos conectarnos a la VPN, como lo son: telefonía fija, ADSL, RDSI. 27

28 CONCLUSIONES Internet ha cambiado la forma como las personas se comunican, acortando distancias geográficas y acelerando la globalización del planeta que se estaba gestando sobre todo en el aspecto comercial. Internet hizo por ejemplo, relativamente fácil y muy económico enviar un correo desde Costa Rica hasta Rusia, chatear con algún familiar que estudia en USA, hablar con alguien que se encuentra en Francia o recibir las fotos de algún niño que acaba de nacer en Colombia. Pero qué tienen en común todas las cosas que se han dicho antes? Todas son comunicaciones personales, comunicaciones que no demandan determinado nivel de confidencialidad y seguridad. Para eso nació Internet, para que las personas estuvieran comunicadas en cualquier momento y lugar. Pero las empresas empezaron a demandar servicios de conectividad seguros. Por qué? Porque Internet estaba en todas partes, porque el comportamiento del mercado era, y seguirá siendo, más velocidad (entendiéndose como ancho de banda) por menos precio. Porque se dieron cuenta que por medio de Internet sus trabajadores podrían acceder a sus redes corporativas desde casi cualquier parte del mundo al costo de una llamada local. Porque se dieron cuenta que podrían mejorar los tiempos de entrega y los costos de sus productos si mantenían su inventario en línea, realizando pedidos en tiempo real a sus proveedores, por ejemplo. Pero Internet, mejor dicho IPv4 (el protocolo que la soporta), no estaba diseñado para soportar este tipo de conexiones que requerían un alto nivel de seguridad y confidencialidad. Hasta que surgieron las Redes Privadas Virtuales sobre Internet, que le agregaron a IPv4 las características de seguridad que carecía desde un comienzo. 28

29 Sin lugar a dudas, las dos cosas que propiciaron que las VPNs tuvieran el crecimiento que han tenido hasta ahora ha sido la cobertura que ha alcanzado Internet y la gran disminución en los precios de acceso, todo esto propiciado por la demanda del mercado. En Costa Rica, las VPNs se han venido enfocando solo a reemplazar escenarios de acceso conmutado corporativo. Ya muchas de estas empresas han optado por usar la infraestructura de acceso a Internet de los proveedores a nivel nacional (ICE) y han instalado su servidor VPN conectado de manera permanente a Internet en la sede principal atendiendo los túneles que sus empleados crean desde el sitio donde se encuentran. No solo se han ahorrado los costos que implican una llamada de larga distancia, sino también todo el desgaste en tiempo y dinero que la administración involucra. Pero tal vez lo mejor, es que ahora no solo las medianas y grandes empresas se dan el lujo de ser capaces que sus empleados remotos accedan a los recursos de la compañía, también, las VPNs han puesto esta ventaja al alcance de las PYMES. Lo más probable es que en muy poco tiempo, 2 o 3 años, una empresa tenga solamente un enlace a Internet de gran tamaño, que reemplace sus enlaces de voz, datos y video. Con este solo enlace disfrutarán de Internet a alta velocidad, enlaces privados de datos, voz y video entre sedes y acceso remoto para sus trabajadores móviles desde cualquier parte del mundo con Acceso Remoto VPN, todo apoyado en la seguridad que los mecanismos de cifrado y autenticación que las VPNs ofrezcan. Sin lugar a dudas, la llegada de ADSL a nuestro país, fue fundamental para que de una vez por todas muchas empresas migraran sus enlaces WAN a tecnologías VPN. Los siguientes son los principales factores a tener en cuenta para realizar una adecuada elección de la tecnología VPN en una implementación: 29

30 - Cuál es el presupuesto? Dependiendo de la respuesta se debe escoger que tipo de implementación realizar. - Cuántos usuarios remotos se atenderán? Con qué frecuencia e intervalos de tiempo? Esta pregunta es necesaria para comparar qué tan rentable es implementar una solución de acceso remoto VPN o seguir con el acceso remoto tradicional. Si los usuarios remotos son pocos, se podría habilitar el servicio de acceso remoto en un servidor Windows NT, 2000 o Linux y colocar un par de módems. Si los empleados se conectan desde fuera de la oficina pero no salen de la ciudad, es decir no se incurre en cargos de larga distancia tampoco sale rentable montar un acceso remoto VPN. Si el tiempo de conexión de los trabajadores remotos es de unos pocos minutos, así estén fuera de la ciudad o incluso fuera del país, se deberá evaluar muy bien económicamente ambos casos, es decir, VPN o el sistema tradicional. - Las ciudades entre las cuales se desplazan los trabajadores que necesitan acceder a los recursos de la red corporativa tienen acceso a Internet conmutado? No se obtiene ningún beneficio si se monta una solución de acceso remoto VPN donde los empleados remotos no pueden acceder a Internet. En este caso no queda otra opción que seguir bajo el sistema de acceso remoto tradicional. De todas maneras es claro que Internet ha tenido una penetración muy fuerte en todos los lugares lo que hace pensar que este problema no sea significativo. - Cuántos usuarios hay en cada red LAN remota? Qué tipo de aplicaciones se manejarán entre ambos puntos? La respuesta a esta pregunta sirve para dimensionar la capacidad del ancho de banda a contratar o el aumento del canal que ya se tiene. De todas maneras este valor está influenciado por apreciaciones probabilísticas sobre el uso simultáneo de los túneles por parte de los usuarios. En otras palabras es posible que se necesite el mismo ancho de banda para interconectar dos oficinas que tienen 5 usuarios cada una pero 30

31 que acceden continuamente a una base de datos o intercambian archivos constantemente, que el necesario para unir dos oficinas con 30 usuarios cada una pero que rara vez acceden a los recursos remotos o que tienen aplicaciones livianas (en modo texto). - Las oficinas a conectar ya cuentan con enlace a Internet? A qué velocidad? Es dedicado o conmutado? Conocer esto, ayuda a dimensionar los costos iniciales de la solución, que en muchos casos es un factor que influye mucho en la toma de una decisión, sobre todo cuando se trata de una empresa que no tiene los recursos para invertir en una solución dedicada a Internet. Cuando el tráfico sea bajo o se esté montando una solución de acceso remoto VPN puede ser suficiente una conexión conmutada en el lado del servidor VPN. - Qué tan confidencial y sensitiva es la información que se intercambia? Con esta pregunta lo que se busca es escoger de manera adecuada los gateways VPN. Un algoritmo de cifrado fuerte es recomendable implementarlo con soluciones por hardware ya que estos equipos tienen circuitos integrados dedicados a la labor de cifrado, por lo tanto no se sacrifica el desempeño del enlace de manera dramática. Aquí también está involucrada la cantidad de tráfico a encriptar obviamente. Definitivamente soluciones con software para este tipo de necesidades no son adecuadas. - Qué tan criticas son las aplicaciones a ejecutar en la VPN para la compañía? Esto sobre todo sirve para escoger el tipo de acceso a Internet que se va a escoger. Si las aplicaciones que transitan por la VPN son críticas, por ejemplo, un sistema de recaudo en línea, se tendrán que realizar una serie de exigencias a la empresa proveedora del servicio tales como ofrecer backup en la última milla y el backbone a Internet, fijar una serie de cláusulas de cumplimiento y garantizar calidad de servicio. 31

32 Es comúnmente aceptado el hecho que las tecnologías de información en Internet han cambiado la forma como las compañías se mantienen comunicadas con sus clientes, socios de negocios, empleados y proveedores. Ahora con el gran crecimiento de Internet, es posible usar un protocolo como IP, sin importar la tecnología WAN que lo soporte, para disfrutar de los servicios y ventajas que ofrecen las redes privadas. Y mientras que las tradicionales redes privadas se han hecho fuertes, no han sido capaces de atacar el mercado de los usuarios individuales o pequeñas oficinas sucursales, y es aquí principalmente donde han surgido con fuerza las soluciones basadas en VPNs sobre IP, pues su implementación resulta sencilla y bastante económica. Además el hecho que las VPNs se construyan sobre infraestructuras públicas ya creadas, han hecho que las empresas ahorren más del 50% del costo que antes tenían que pagar en llamadas de larga distancia y en equipos físicos de acceso remoto o en alquiler de enlaces privados o dedicados. 32

33 ANEXOS Entidades Supervisadas por la SUPEN 33

34 FUENTE: 34

35 BIBLIOGRAFIA Pagina web oficial de Microsoft Corporation. Empresa de Estados Unidos, fundada por Bill Gates y Paul Allen. Dueña y productora de los sistemas operativos: Microsoft DOS y Microsoft Windows, que se utilizan en la mayoría de las computadoras del planeta. Pagina web oficial de Cisco Systems. Compañía mundial líder en la fabricación de equipos para Internetworking. Desarrolla sistemas operativos (IOS) para sus enrutadores y switches que capacitan a los mismos para crear y terminar tuneles. Pagina web oficial de RSA Security Inc. Esta compañía está enfocada a brindar soluciones para el establecimiento en línea de identidades, derechos de acceso, y privilegios de acceso para personas, aplicaciones y dispositivos. Sus fundadores desarrollaron el algoritmo de cifrado que lleva su nombre. Página web SafeWord RemoteAccess SafeWord de Secure Computing es el producto técnicamente más avanzado de la línea de productos para la Verificación e Identificación de usuarios, Control de Acceso a Redes y a sus recursos. Proporciona a las organizaciones un conjunto de herramientas flexibles y rápidas para proteger sus redes. Por esta razón es que muchas compañías respetables han elegido a SafeWord como su estándar de Autenticación de Redes. 35

36 Pagina web oficial de la Superintendencia de Pensiones, SUPEN. La Superintendencia de Pensiones (SUPEN) es la entidad responsable de la regulación, fiscalización y supervisión de los regímenes básicos de pensiones y los regímenes complementarios, en este último caso se incluyen tanto los fondos administrados por las operadoras de pensiones complementarias (OPC) como los fondos creados por leyes especiales o convenciones colectivas. Virtual Private Networking: An Overview. Esta página es contiene vistazo a los conceptos básicos y de configuración para poder implementar una VPN según la empresa Microsoft. Explica el funcionamiento de una VPN, describe los aspectos importantes a tomar en cuenta y presenta los protocolos más utilizados en el mercado. pnoverview.mspx 36

37 RESÚMEN EJECUTIVO La Superintendencia de Pensiones (SUPEN) es la entidad responsable de la regulación, fiscalización y supervisión de los regímenes básicos de pensiones y los regímenes complementarios. Además debe supervisar lo relacionado con los fondos de capitalización laboral. Con este proyecto se pretende diseñar una solución de comunicación que permita a la SUPEN integrar los servicios prestados a terceros buscando una mejor velocidad de transmisión de datos, seguridad en la comunicación, accesibilidad y oportunidades de crecimiento a mediano plazo. Se busca definir el mejor diseño de conectividad que permita optimizar el funcionamiento de la extranet. Actualmente, la Supen cuenta con una red LAN de 100Mbps. Esta red interna está conectada con una línea dedicada a SICERE (Sistema Centralizado de Recaudación de la CCSS) a una velocidad de 2Mbps. Además los fondos se conectan vía módem (por línea telefónica) a una velocidad de 56Kbps a la red de la Supen (una velocidad demasiado baja para el uso que se le da). Una solución que se podría implementar, sería que la Supen se conectara a 100 Mbps a la red privada virtual (VPN) del Sistema Interbancario de Negociación y Pagos Electrónicos (SINPE) del Banco Central de Costa Rica y a través de esta VPN ofreciera un servicio a los fondos a una velocidad de 256 Kbps y un servicio a las operadoras a 1 ó 2 Mbps dependiendo de la velocidad a la cual puedan conectarse las operadoras. Además la conexión al SICERE seguiría siendo directa a la red LAN de la Supen y a una velocidad de 2 Mbps. Otra solución que la Supen podría implementar sería que la propia Supen obtenga una VPN por medio de la cual podría centralizar sus servicios ya sea a SICERE, a los fondos y a las operadoras. Mediante esta solución la Supen podría aumentar a 256 Kbps la conexión a los fondos y podría aumentar a 1 ó 2 37

38 Mbps la conexión a las operadoras dependiendo de la velocidad a la cual pueda conectarse cada operadora. Además la conexión al SICERE seguiría siendo directa a la red LAN de la Supen y a una velocidad de 2 Mbps. Todos estos servicios serían ofrecidos a través de la VPN de la Supen. Una vez consideradas las ventajas y desventajas de las dos propuestas anteriores se considera que según las necesidades de independencia, seguridad y administración que necesita actualmente la Supen sobre dichas conexiones y tomando en cuenta que el dinero no es mayor inconveniente, se puede establecer que la mejor opción en este caso es la segunda propuesta. Como se mencionó anteriormente, esta propuesta se basa en implementar una VPN para la Supen. Una red privada virtual es una red privada de datos que hace uso de una infraestructura pública de telecomunicaciones como podría ser Internet, manteniendo la privacidad a través del uso de un protocolo de túneles y de procedimientos de seguridad. Para implementar la VPN en la Supen se requerirá: Un servidor en la Supen con Active Directory. Un software de autenticación fuerte (token). Modificar la configuración del router externo (firewall). Software de cliente de VPN para cada ente supervisado. Dado que el router externo de la Supen es de marca Cisco, se opta por seleccionar software compatible con este tipo de equipo. 38

39 FRASES DESCRIPTIVAS SUPEN: Superintendencia de Pensiones. Es la entidad responsable de la regulación, fiscalización y supervisión de los regímenes básicos de pensiones y los regímenes complementarios. OPC: Operadoras de pensiones complementarias. Entidades encargadas de administrar y fomentar la adquisición de Planes Voluntarios de Pensiones Complementarias. VPN: Red privada virtual. Es una red privada de datos que hace uso de una infraestructura pública de telecomunicaciones. Token: Es un pequeño dispositivo de hardware que los usuarios cargan consigo para autorizar el acceso a un servicio de red. Cisco: Compañía mundial líder en la fabricación de equipos para Internetworking. Safeword: Es el producto técnicamente más avanzado de la línea de productos para la Verificación e Identificación de usuarios, Control de Acceso a Redes y a sus recursos. 39