Ignacio Sánchez es Analista Jefe de Sistemas en el Área de Nuevas Tecnologías de la Concejalía de Mantenimiento de la Ciudad y Nuevas Tecnologías de Móstoles. Dirije un departamento, el de Sistemas, dentro del Área de Nuevas Tecnologías, compuesto por técnicos con una preparación muy alta y con la implicación que cualquier jefe de servicio soñaría o más. Gracias a estas características han podido afrontar grandes proyectos, con pocos recursos humanos, en una ciudad como Móstoles, con más de 200.000 habitantes a su cargo en las areas de infraestructura de red, seguridad, bases de datos, telecomunicaciones, copia de seguridad, etc....


Ignacio Sánchez: Analista Jefe de Sistemas en el Área de Nuevas Tecnologías

Hace dos años afrontaron la migración a la solución Microsoft Forefront Client Security y hemos querido entrevistarle para conocer el cómo y el por qué de la migración de la solución de antivirus y, sobre todo, cuál es su nivel de satisfacción hoy en día con la elección. Este es el resultado.

1.- ¿Qué solución antivirus teníais, si se puede saber, antes de instalar MS Forefront Client Security?

Dentro de la soluciones de seguridad, el entorno era muy heterogéneo, si bien para el antivirus se basaba principalmente en McAfee, con gestión centralizada por una ePO. Ya por aquel tiempo disponíamos de antivirus Sybari/Antigen en nuestro gestor de correo electrónico Exchange, que en la última versión se ha convertido en el filtro de MS Forefront.

Aún cuando teníamos un único proveedor de antivirus, los clientes eran totalmente heterogéneos, pudiéndose dar el caso de encontrarnos equipos con el mismo sistema operativo y diferentes versiones del antivirus. A esta situación se llego debido a varias migraciones dentro del mismo entorno fallidas.

2.- ¿Cuáles fueron los motivos principales para pensar en una migración hacia MS Forefront Client Security?

Como administración pública nuestra contratación se basa en concursos públicos abiertos. En este caso el proyecto era parte de uno de ellos. Se puntuaban varios aspectos y se exigían otros muchos para conseguir o dar continuidad al sistema existente o implantar uno al mismo coste y sin provocar discontinuidad del servicio. El adjudicatario presentó un plan de migración del anterior sistema a MS Forefront.

3.- ¿Fue costosa la migración en tiempo y recursos?

Se puede decir que no, en el sentido de que la migración se realizó en el tiempo y con los recursos previstos. El equipo de trabajo principal fue de un técnico del adjudicatario y uno del Ayuntamiento, aunque este último sin dedicación exclusiva en el proyecto. Según tareas podían ser necesarios técnicos por una parte o la otra que se incorporaban, ejecutaban y dejaban el proyecto en manos de los arriba mencionados.

Una de las prioridades del servicio de Nuevas Tecnologías del Ayuntamiento de Móstoles es generar el menor número de interrupciones del servicio o a los usuarios posible, ya que nos debemos a los ciudadanos que tienen que poder realizar sus trámites municipales en el momento que decidan. Para poder cumplir con esta prioridad se exigió que tanto la desinstalación de la anterior solución como la instalación de la nueva fuesen transparentes al usuario, centralizadas, silenciosas y sin visitas individualizadas. Al final, todo el proceso se pudo realizar con la labor del técnico del adjudicatario que generó tantos scripts como fueron necesarios para todos los casos que disponíamos, tanto de versiones de McAfee como de los sistemas operativos de los clientes.

Las jornadas que se plantearon fueron 16 mañanas de siete horas, y se cumplió con el calendario previsto.

4.- ¿Cuántos equipos tenéis ahora mismo controlados bajo MS Forefront Client Security?

Dentro del concurso se incluían las instalaciones de la solución corporativa para los equipos del dominio, unos 500 de sobremesa y 50 servidores, y la de tres aulas individuales con su acceso propio a Internet. De los equipos mencionados no todos disponen de servicio de correo, pero los que lo tienen utilizan el servidor Exchange filtrado por MS Forefront.

5.- ¿Cuántas políticas diferentes tenéis configuradas en los agentes?

En este apartado hemos intentado ser lo más prácticos posible, reduciendo el número de directivas referentes a Forefront a tan sólo dos. Tenemos una directiva para nuestro conjunto de servidores y una directiva para los clientes.

La integración con el directorio activo y WSUS, nos ha permitido también implementear la instalación de parches y actualización automática del antivirus virus de forma muy transparente. Para esto disponemos de una directiva por cada grupo de aproximadamente cien equipos.

El número de incidencias por malware se ha reducido muy drásticamente, llegando al punto de no tener ninguna, que podamos catalogar como grave, desde la implementación de este entorno. Entendemos que esto se debe además de a la eficiencia del propio antivirus, a la integración de WSUS que permite tener los equipos del dominio al último nivel de actualizaciones.

6.- ¿Cuánto tiempo lleva instalada la solución de MS Forefront Client Security?

Llevamos dos renovaciones anuales de los servicios de actualización de malware de MS Forefront. Aunque hasta el momento no hemos tenido que actualizar la solución. Ya en este año año nos estamos planteando la migración del servidor porque empieza a quedarse justo. En su momento se optó por un equipo que iba a ser retirado de producción, un HP Proliant DL 580 de la primera generación con dos CPU Pentium III Xeon, el cual tiene instalada toda la solución (ForeFront, WSUS y SQL Server).

7.- ¿Habéis tenido incidencia de malware durante el tiempo que lleváis con la solución?

Como ya comenté, a lo largo de este tiempo no hemos tenido ningún incidente grave. Si bien es cierto que han aparecido amenazas de grado medio y alto, siempre han sido soluciondas por el propio software sin problemas. No hemos tenido que recurrir en ningún momento al soporte del fabricante y en todo momento hemos sido totalmente autónomos. Esperamos que esta situación permanezca así ya que podemos utilizar ese tiempo para otras labores administrativas.

8.- Al equipo técnico, ¿le fue costoso aprender a administrar MS Forefront Client Security?

Este ha sido uno de los puntos fuertes y débiles simultáneamente. Si bien el sistema se integra con la gestión de parches y le hace fácil de gestionar, en algunos casos es tan sensible a las incidencias que puede “saturar” al técnico con demasiados avisos. La adaptación al entorno de administración es muy rápida, pero quizá los informes por defecto se quedan un poco escasos para realizar tareas más específicas o de mayor granularidad de administración. Quizá la parte más tediosa, sea la detección de vulnerabilidades, ya que dependen de unos estándares prefijados por Microsoft que pueden no ser aplicacables a la organización.

9.- ¿Os genera algún beneficio el que los usuarios puedan tener la misma solución antivirus en casa con Windows Security Essentials?

La verdad es que creemos que quizá aun sea pronto para pronunciarse al respecto ya que Windows Security Essencials es muy reciente. Por otro lado, aunque sabemos que Windows Security Essentias se basa en Forefront Client Security, lo cierto es que el aspecto visual no es exactamente el mismo y esto no contribuirá mucho a su difusión ya que la percepción de los usuarios será a primera vista la de elementos diferentes.

Nuestros usuarios se han acostumbrado a un sencillo icono en la barra de herramientas y su sistema de semáforo por colores, que les resulta sencillo y a nosotros muy útil.

10.- ¿Cuál sería tu nivel de satisfacción con MS Forefront Client Security?

En general es muy bueno. Un administrador de la red se tiene que enfrentar a diario con multiples aplicaciones y entornos. Nuestro volumen de trabajo no nos permite dedicar mucho tiempo al aprendizaje de cada uno de estos sistemas con lo cual lo único que pedimos es que las cosas sean fáciles de administrar y eficientes. MS Forefront Client Security cumple a la perfección con estos requisitos y estamos convencidos de que nos permitirá a la vez configurar un entorno más complejo cuando esto sea necesario. Se puede concluir que MS Forefront nos transmite tranquilidad.