Capcom refuerza su seguridad protegiendo la información sensible en entornos de desarrollo de juegos

Perfil de la empresa

Capcom es un desarrollador, editor y distribuidor líder mundial de entretenimiento interactivo para consolas de videojuegos, PC, dispositivos portátiles e inalámbricos. Fundada en 1983, la empresa ha creado cientos de juegos, entre los que se incluyen las revolucionarias franquicias Resident Evil™, Monster Hunter™, Street Fighter™, Mega Man™, Devil May Cry™ y Ace Attorney™. Capcom mantiene operaciones en EE. UU., Reino Unido, Alemania, Francia, Hong Kong, Taiwán, Singapur y Tokio, con sede corporativa en Osaka, Japón. Puede encontrar más información sobre Capcom y sus productos en www.capcom.com o www.capcom-unity.com.

Fecha de apertura: 11 de junio de 1983 Ventas netas: 110.054 millones de yenes (año fiscal finalizado el 31 de marzo de 2022) Número de empleados: 3.206 (a 31 de marzo de 2022)

Desafíos

Mejora integral de las medidas de seguridad necesarias para uno de los principales fabricantes de videojuegos del mundo

El negocio de juegos de Capcom destaca especialmente por sus avanzadas capacidades de desarrollo tecnológico. En los últimos años, los fabricantes primero suelen adquirir un motor de videojuegos proporcionado por un desarrollador de tecnología de plataformas de videojuegos y, a continuación, desarrollar contenido basado en ese motor. Sin embargo, Capcom ha desarrollado su propio motor de videojuego basado en capacidades fundamentales de desarrollo tecnológico durante muchos años y está muy valorado y posicionado como líder en la industria del videojuego. El equipo de desarrollo del último motor de videojuegos obtuvo incluso el máximo galardón en la categoría de ingeniería en los prestigiosos CEDEC AWARDS. Capcom apuesta por la tecnología propia y crea juegos que gustan a los aficionados de todo el mundo.

El Departamento de Tecnología Fundacional de I+D, que apoya el desarrollo de juegos y la tecnología de plataformas de juego, supervisa la introducción de tecnología y crea normas para aumentar la productividad de modo que los ingenieros y creadores puedan centrarse en el desarrollo. Además de elaborar y difundir reglas, este departamento también es responsable de operar y mejorar los enfoques de seguridad y garantizar el cumplimiento de las leyes y los regulaciones de cada país y región.

Kohei Akiyama, de la Sección de Apoyo al Desarrollo de Motores del Departamento de Tecnología Fundacional de I+D de Capcom, declaró: «Por supuesto, el departamento de sistemas de información también se ha ocupado de las medidas de seguridad y conformidad normativa en toda la empresa. Sin embargo, el departamento de desarrollo de juegos maneja activos de datos vitales utilizando un entorno de desarrollo específico para cada proyecto. Dado que vendemos nuestro contenido en todo el mundo, también debemos tener en cuenta las leyes y normativas desde el principio para crear productos que cumplan con las normas de cada país y región. Además, como estamos operando un sistema a gran escala con numerosos proyectos de desarrollo que se ejecutan simultáneamente, añadimos nuestro propio enfoque para apoyar una creatividad fluida»,

Capcom se ha centrado en reforzar las medidas de seguridad durante algún tiempo, pero para trabajar en medidas más avanzadas y niveles más altos de protección, se ha establecido un grupo de trabajo dedicado a la seguridad en el desarrollo y ha comenzado a estudiar la introducción de tecnologías y mecanismos para proteger activos de información valiosos.

Soluciones

La gestión del acceso con privilegios protege los entornos de desarrollo sin poner en peligro la productividad

El grupo de trabajo de seguridad en el desarrollo consultó con varios proveedores de TI sobre medidas de seguridad mejoradas. Adoptó una propuesta de Japan Business Systems (JBS) que se centró en una solución que haría que el entorno de desarrollo fuera más seguro y transparente sin comprometer la productividad. A partir de ahí, Capcom mostró un gran interés en las soluciones de gestión del acceso con privilegios.

La protección del acceso con privilegios de las cuentas de administrador del sistema sigue considerándose una medida de seguridad importante en los últimos años. Esto se debe a que si un atacante obtiene acceso a los sistemas a nivel de administrador, podría manipular fácilmente los datos y las aplicaciones y robar la mayor cantidad de información posible.

Una parte del entorno de desarrollo de Capcom se configura en una infraestructura de virtualización, pero los cientos de servidores virtuales son operados por las personas a cargo de cada proyecto. La Oficina de la Sección de Apoyo al Desarrollo de Motores había establecido normas para las cuentas operativas y las contraseñas. Sin embargo, como la operación real se dejó en manos del personal, basándose en el principio de buena fe, existía la preocupación de si estas normas se cumplían a rajatabla. Dado que el desarrollo moderno de juegos sucede cada vez más en un entorno línea y que participan activamente más empresas asociadas nacionales y extranjeras, es crucial mejorar la gestión del acceso con privilegios de cara al futuro.

Koji Yoshida, de la Sección de Apoyo al Desarrollo de Motores del Departamento de Tecnología Fundacional de I+D de Capcom, declaró: «Los ingenieros acceden al entorno de desarrollo centrado en un servidor desde terminales de PC individuales. El servidor, donde se concentran todos los tipos de datos, es el lugar que más debe protegerse. Salvo algunas excepciones, el personal de cada proyecto encargado de los servidores no son profesionales informáticos, sino programadores de aplicaciones que también tienen tareas de desarrollo de juegos. El entorno de desarrollo es principalmente servidores Linux y no todo el mundo está familiarizado con su funcionamiento. Por lo tanto, existía el riesgo de que la gestión de cuentas se volviera inevitablemente descuidada. La implementación de una solución de gestión del acceso con privilegios era una de nuestras tareas más importantes y urgentes».

En respuesta a estos requisitos, Capcom seleccionó CyberArk Privileged Access Manager como su solución de gestión del acceso con privilegios, que es compatible con los entornos de desarrollo existentes basados en Linux y satisface los estrictos requisitos de los equipos de seguridad de Capcom. CyberArk Privileged Access Manager cuenta con una trayectoria demostrada en la industria y ofrece un conjunto completo de funciones para mejorar la gestión del acceso con privilegios, como el registro y la rotación de contraseñas. Los principales factores decisivos a la hora de introducir el sistema fueron su implementación «sin agentes» y el soporte para el inicio de sesión único.

CyberArk Privileged Access Manager no requiere la instalación de agentes en cada servidor, por lo que el impacto en el entorno de desarrollo es mínimo. La función de implementación sin agentes ha ayudado a reducir la carga de trabajo, ya que cada proyecto implica configurar muchos servidores y cerrarlos cuando se completa el desarrollo. La función de gestión del acceso con privilegios garantiza que las identificaciones y las contraseñas se mantengan en secreto incluso para el administrador del servidor, y es fácil crear un flujo al que solo se pueda acceder a través de CyberArk Privileged Access Manager. En consecuencia, el sistema coincidió con los requisitos preliminares de ser transparente y mejorar significativamente las medidas de seguridad y la gobernanza sin aumentar el esfuerzo del usuario final.

Resultados

Gestión del acceso con privilegios de todos los proyectos de desarrollo centralizada mediante CyberArk Privileged Access Manager

Tras decidir implementar CyberArk Privileged Access Manager, Capcom diseñó un método operativo después de varios meses de pruebas de concepto. A continuación, con el apoyo de JBS, Capcom implementó la solución, amplió gradualmente la operación e inició la protección a gran escala en junio de 2022.

Inicialmente, la operación protegió los nuevos proyectos con CyberArk Privileged Access Manager y ajustó el flujo operativo con la cooperación de cada departamento. Desde entonces, Capcom ha trasladado los procesos de los proyectos existentes al nuevo sistema, por lo que CyberArk Privileged Access Manager los protege por completo.

«Es una medida de seguridad importante, y habrá cambios en los métodos operativos existentes, por lo que nos tomamos el tiempo necesario para explicar a las personas y a los responsables de cada departamento que nos ayudarán a implementar el sistema. Sin embargo, CyberArk Privileged Access Manager en sí es muy fácil de usar. No he tenido dificultades y se ha convertido en una opción natural para mí como administrador de PAM. Tiene todas las funciones que necesitamos para la gestión del acceso con privilegios y creemos que hemos consolidado y mejorado nuestra gestión de cuentas», afirmó Yoshida.

Un efecto secundario de la gestión del acceso con privilegios es que los administradores de servidores ahora pueden gestionar y visualizar el acceso a través de CyberArk Privileged Access Manager.

Al utilizar la función de auditoría de registros de CyberArk Privileged Access Manager, es posible supervisar de cerca la frecuencia con la que se requiere acceso con privilegios y la frecuencia con la que los administradores gestionan los servidores. Yoshida descubrió que, a medida que avanzaba el proyecto de desarrollo, el trabajo de gestión de servidores en sí no se realizaba muy a menudo y no se accedía a ellos con frecuencia. Además, hubo algunos casos en los que los servidores virtuales que apenas se utilizaban al final del proceso de desarrollo se dejaron parados.

«La visión que nos ofrece CyberArk Privileged Access Manager nos ha permitido revisar el funcionamiento del servidor por sí mismo. Si el acceso a los servidores es escaso, existe el riesgo de que se pasen por alto las actualizaciones necesarias del sistema operativo y otras operaciones. También existe el deseo de optimizar la asignación de recursos mediante la eliminación proactiva de servidores innecesarios. En el futuro, creemos que podemos considerar de forma proactiva revisar nuestras reglas de gestión de servidores», afirmó Yoshida.

Akiyama y su equipo también han recibido comentarios de programadores de aplicaciones que están a cargo de las operaciones del servidor de que no hay ningún problema con el uso regular. Aunque hubo algunas preocupaciones, el uso transparente del sistema ha demostrado no perjudicar la productividad. Los programadores no tienen problemas para configurar el servidor porque viene completo con instrucciones y documentación. Se sienten seguros de que JBS, un socio de CyberArk, les apoyará si tienen alguna pregunta, lo que les permitirá concentrarse en desarrollar videojuegos con tranquilidad.

Estímulo a los refuerzos de la seguridad El Departamento de Tecnología Básica de Investigación y Desarrollo tiene la intención de promover el refuerzo de las medidas de seguridad, incluido el uso de CyberArk Privileged Access Manager, para crear un entorno más seguro y cómodo en el que las personas puedan dedicarse al desarrollo de videojuegos.

«Además de mejorar las medidas técnicas, nuestra misión es mejorar la formación del usuario final. También estamos avanzando hacia unas reglas drásticas y mejoras operativas para satisfacer nuestras necesidades, como discutir si la gestión de servidores debe seguir siendo la misma. Al visualizar la situación actual, pudimos empezar a crear un entorno mejor. En ese sentido, creemos que CyberArk Privileged Access Manager es una solución para la que no hay otra alternativa», afirmó Akiyama. También espera recibir la información para reforzar la formación y las contramedidas de CyberArk y su socio de soluciones, JBS.

Un entorno seguro y cómodo es necesario para mantener un sitio de desarrollo saludable, y una seguridad mejorada con CyberArk Privileged Access Manager en su núcleo ayudará a aumentar la productividad en el desarrollo de juegos y a generar contenido más atractivo.

Principales ventajas

• Mejora la seguridad de los entornos de desarrollo de videojuegos con información confidencial.
• Introduce la gestión del acceso con privilegios en servidores de desarrollo.
• Se introduce sin esfuerzo debido a la función de implementación sin agentes.
• Realiza contramedidas sólidas a través de la confidencialidad de las identificaciones y las contraseñas con privilegios.