Notas de la sesión de evaluación IAM Calpa y seguridad de Compartamos

Contexto y finalidad del servicio

En la sesión se presenta la finalidad del soporte de la aplicación Calpa para el servicio de las SMDI (Compartamos). El objetivo de NDT es ayudar a identificar brechas de seguridad y oportunidades de mejora para evolucionar las capacidades tecnológicas de Compartamos. Las entrevistas tienen como fin recopilar información para este propósito y construir un marco de mejora continua.

Equipo involucrado

El equipo de NTT está conformado por Alicia Lara (líder del proyecto), Mijaí Muñoz (especialista IA) y Richard Vargas (recolección de información). En representación de Compartamos, participan Víctor Lluvia (arquitecto de seguridad TI) y Omar García (seguridad y operaciones, responsable del proyecto).

Conceptos clave de gestión de identidades

La gestión de identidades es una disciplina de seguridad que abarca gobernanza y cumplimiento, incluyendo:

  • Autenticación y multifactor de autenticación (MFA)

  • Identidades y gestión humana, incluidas máquinas, aprovisionamiento y desaprovisionamiento de usuarios y equipos

  • Cuentas y privilegios, enfocándose en cuentas privilegiadas (usuarios finales, internos, proveedores, colaboradores, usuarios de servicio o genéricos)

  • Directorio y conectividad

  • Autorización: gobernanza de roles, atributos y segregación de funciones

  • Reportería: métricas y KPIs para cumplimiento

Alcance y descripción de Calpa

Calpa se compone de al menos dos productos a nivel de producto: Calpa grupal (centrado en crédito grupal) y Calpa individual (no detallado aquí). Calpa Grupal es utilizado por todos los usuarios vinculados al crédito grupal: asesores de negocio, asesores en formación, asesores de negocio que realizan originación de crédito, etc.

Las fases de originación en Calpa Grupal incluyen:

  • Prospectar clientes y conformar un grupo de clientes, ya que los créditos son grupales

  • Evaluación del grupo; según el ranking del asesor puede tener autonomía sobre un grupo o derivarlo a su jefe/gerente por límites de monto

  • Aprobación del crédito por el jefe o gerente de la agencia

  • Firmas de contratos por parte de las clientas

  • Activación de las ODPs para el cobro, desembolsando a la cuenta de ahorro, BIN u otra vía (agencia)

La parte de gestión cubre el seguimiento a los grupos, cobranzas y agendas de visitas, así como la supervisión por niveles jerárquicos (gerente divisional y gerente regional). Se distinguen dos grandes funciones: originación y gestión.

Usuarios y acceso a Calpa Grupal

Para Calpa Grupal, el acceso está limitado principalmente a:

  • Asesores de cada agencia

  • Jefes de crédito

  • Gerentes de agencia
    Se establece que solo estos perfiles acceden a la funcionalidad de originación; no hay acceso para otros roles dentro de Calpa Grupal.

Se discute si existen otros usuarios que puedan ingresar a estos módulos o si hay acceso adicional desde áreas como seguridad de la información. El consenso es que el onboarding y la gestión de usuarios se maneja fuera de Calpa Grupal, y la autenticación se realiza a través de Active Directory (AD).

Autenticación, MFA y control de accesos

  • Calpa Grup al no implementa MFA (doble autenticación) actualmente.

  • La autenticación se realiza directamente con AD; el acceso a Calpa Grupal se gestiona a través de las credenciales de AD.

  • Calpa Grupal no realiza altas, bajas o modificaciones de usuarios; existe un proceso de onboarding externo para crear usuarios y asignar accesos, que se registra en un sistema de planillas (Adrián) y luego se sincroniza con otros sistemas, incluido el core bancario.

  • En Calpa Grupal, la autenticación es directa vía AD, y la gestión de cuentas se realiza fuera de Calpa (en un sistema de onboarding). Calpa funciona como satélite, sin una base de datos de usuarios propia.

Gestión del ciclo de vida de identidades

  • El onboarding de usuarios se maneja fuera de Calpa, en un sistema de planillas (Adrián) para crear las cuentas y luego sincronizar con otros sistemas y el core.

  • Calpa Grupal no realiza altas, bajas o modificaciones de usuarios por sí mismo; la integración se da a través de AD y procesos externos.

  • El control de accesos se gestiona mediante grupos de red y asignaciones proactivas desde el sistema de onboarding, no dentro de Calpa Grupal.

Autorización, roles y segregación de funciones

  • La gobernanza de roles y atributos existe, pero con alcance parcial. La segregación de funciones (SOD) está implementada solo en ciertas áreas y requiere parametrización.

  • Las revisiones periódicas de roles y permisos no son regulares; se realizan básicamente cuando hay una necesidad o cambio concreto (por ejemplo, flexibilizar accesos para cobranzas).

  • Seguridad de la información participa cuando se habilita un nuevo permiso o rol; se realizan consultas entre negocio y seguridad para validar perfiles antes de aprobar.

  • No existe una descripción granular y completa de perfiles técnicos (p. ej., un perfil de cajero con todas sus opciones y privilegios); el mapeo de perfiles no está totalmente implementado.

Auditoría, monitoreo y reportería

  • Calpa registra los accesos y las operaciones de autenticación; los logs de autenticación se retienen de forma permanente, mientras que los logs de otras transacciones y cambios se conservan por aproximadamente un mes y medio y luego se depuran.

  • En auditorías internas o externas, hay disponibilidad de logs de acceso y de actividades relevantes, aunque puede haber dudas sobre la retención a largo plazo para ciertas trazas de auditoría.

  • En cuanto a correlación de eventos, se discute la posibilidad de integrarse con un centro de operaciones o sistema central (referido como “100” en la conversación) para la detección de accesos no autorizados y otros eventos de seguridad. Se confirma que hay un interés en la integración para la correlación de eventos.

  • En reportería nativa de Calpa, no hay alertas personalizadas por defecto; los logs deben revisarse leyendo las tramas para detectar incidentes, lo cual indica una necesidad de mejores capacidades de monitoreo y alertas.

  • Sobre el monitoreo de horarios de acceso, existen restricciones: los usuarios no deberían poder conectarse fuera del horario de oficina; se mencionó que el acceso después de las 20:00 queda restringido (ej.: 8 PM).

Integración y arquitectura

  • Calpa Grup al está integrado con Active Directory para autenticación; la conexión es directa desde Calpa Grup al AD.

  • Calpa es un satélite del core bancario (BanTotal) y no gestiona configuraciones de core; las configuraciones de producción del core impactan a Calpa cuando corresponde a cambios de producción.

  • Existe un interés en obtener un diagrama arquitectónico conceptual de Calpa para entender cómo se integra con AD y otros componentes, y para facilitar futuras consultas durante las entrevistas.

  • En cuanto a usuarios de servicio y cuentas genéricas, se discute si existen, y se sugiere que el manejo de cuentas de servicio para autenticación AD podría estar gestionado por seguridad o por otro equipo; el conocimiento detallado de estas cuentas no quedó claro en la sesión.

  • Calpa Grup al y Calpa Individual se tratan como satélites; BanTotal es el core y está separado. Las integraciones con directorios y servicios se discuten en el contexto de cada satélite.

  • Se solicita un diagrama de arquitectura para clarificar las interfaces y las dependencias entre Calpa, AD y el core bancario.

Seguridad, cumplimiento y pruebas

  • Se realizan pruebas de seguridad de forma periódica, incluidas pruebas de pentesting y ethical hacking.

  • Existen procesos de gestión de cambios para configuraciones relacionadas con el core bancario, especialmente cuando hay pase a producción. Calpa, como satélite, no gestiona directamente estas configuraciones del core.

  • No hay revisiones periódicas de roles o permisos. Las revisiones ocurren cuando hay cambios necesarios o ante requerimientos de auditoría.

  • Cuando hay necesidad de habilitar permisos para un equipo concreto (ej.: cobranza), se realizan sesiones de consulta entre negocio y seguridad TI para la aprobación previa y documentación.

  • Se cuenta con un registro de logs de autenticaciones y de ciertas transacciones; sin embargo, la retención de logs para transacciones puede ser limitada y no hay una solución de reporte nativo para alertas, lo que sugiere la necesidad de mejoras en reportería y monitoreo.

Roadmap de gestión de identidades (IAM)

  • Se presenta un roadmap de alto nivel por dominios para la gestión de identidades: ABM de cuentas nominales, cuentas de acceso, gestión de cuentas genéricas y de servicio, notificación, autorización y gestión de accesos.

  • El plan propone un enfoque por fases para aplicar gobernanza, lineamientos y procesos de revisión de cuentas nominales y perfiles, priorizando la revisión de lo que se requiera en cada aplicación (Calpa y BanTotal).

  • El objetivo general es identificar brechas y oportunidades de mejora para desarrollar un roadmap estratégico por aplicación, con miras a futuras integraciones y soluciones de IAM que puedan mitigar riesgos y habilitar mejores prácticas de seguridad.

Puntos de contacto, acuerdos y próximos pasos

  • Se acordó compartir la minuta de la reunión y solicitar la arquitectura conceptual de Calpa para aclarar dudas y completar el entendimiento de la integración.

  • Se confirmó que habrá seguimiento para relevar la arquitectura y cualquier información adicional necesaria: diagrama de arquitectura, mapeo de procesos de alta/baja/modificación de usuarios, y detalles de integración con AD y el core.

  • Preguntas finales: sobre si Calpa Individual maneja gestión de usuarios a nivel web y app (sí), y si hay satélites de usuarios (no para Calpa Grupal; para Calpa Individual se confirmó que también hay web y app, pero no se mencionó gestión de usuarios dentro de esos satélites).

Implicaciones prácticas y consideraciones éticas

  • La ausencia de MFA en Calpa Grupal representa un riesgo de autenticación y exige controles compensatorios (p. ej., controles de red, monitoreo de accesos, y revisión de perfiles). La dependencia en AD para autenticación centraliza la superficie de seguridad, pero no elimina la necesidad de controles de acceso granular en Calpa y sus satélites.

  • La falta de revisiones periódicas de roles y la granularidad insuficiente de perfiles técnicos pueden aumentar la probabilidad de acceso indebido o de privilegios excesivos en el largo plazo. Se recomienda establecer un programa de revisión de privilegios y una definición de perfiles técnicos con descripciones y privilegios asociados.

  • La retención de logs y la capacidad de reportar de manera nativa afectan la capacidad de auditar y responder a incidentes; se recomienda implementar un mecanismo de alertas y un repositorio central de logs para auditoría y correlación de eventos.

  • Dado que Calpa es satélite y ciertas configuraciones del core dependen de procesos de producción, es crucial una coordinación sólida de cambios entre la seguridad, negocio y TI para evitar desalineaciones y brechas de seguridad.

  • La necesidad de un diagrama de arquitectura conceptual es clave para entender las interfaces de Calpa con AD y con el core, así como para planificar futuras integraciones de soluciones IAM y posibles cuentas de servicio.

Notas finales

  • Este assessment busca identificar brechas y oportunidades de mejora, con un roadmap estratégico por aplicación para fortalecer la gestión de identidades y el acceso. Se acordó coordinar próximas reuniones para relevar información adicional (arquitectura, flujos de onboarding, gestión de usuarios y control de accesos).

  • Pendientes: entrega del diagrama de arquitectura de Calpa, clarificación sobre cuentas de servicio y roles granulares, y definición de un plan de revisión periódica de roles y permisos.