Realizar los procesos de gestión de accesos e identidades (IAM) manualmente puede afectar a los presupuestos de TI y perjudicar los esfuerzos de seguridad

Los administradores de TI son responsables de gestionar los accesos de los usuarios a las aplicaciones web y a los datos empresariales sensibles sin inhibir la agilidad empresarial, la experiencia del usuario y el cumplimiento de la normativa, de forma rentable.

Sin embargo, dado que los retos empresariales evolucionan continuamente, las empresas se ven obligadas a adoptar diferentes soluciones para afrontarlos. En consecuencia, los perímetros de la red ya no son los tradicionales.

Con la llegada de la adopción de la nube, el método BYOD y el trabajo remoto, los administradores de TI ahora tienen que gestionar las identidades y los accesos de los usuarios a través de múltiples plataformas y más allá de los perímetros tradicionales de la red. Esto ha desgastado enormemente la eficiencia de los equipos de TI.

La adopción de la automatización para IAM puede mejorar en gran medida el funcionamiento del equipo de TI al eliminar el trabajo redundante. La automatización de la gestión de identidades también puede mejorar la seguridad, simplificar las auditorías de cumplimiento y mejorar la agilidad de su modelo de negocio.

Cómo la automatización de la IAM ofrece un mayor ROI

Cuando se contrata a los empleados, hay que establecer su cuenta, lo que incluye la configuración de los atributos de los usuarios, los buzones de correo, las carpetas de inicio, etc. Asimismo, cuando los empleados abandonan la organización, todo su acceso a los recursos de TI debe ser revocado sin falta.

El aprovisionamiento y desprovisionamiento de usuarios en las diferentes plataformas, especialmente en entornos físicos, virtuales y en la nube, es complejo. Como resultado, el aprovisionamiento y el desaprovisionamiento de usuarios en estos servicios de nube en silos de forma masiva se vuelve más complejo, propenso a errores y manualmente exhaustivo.

La complejidad aumenta si la nómina de RR. HH de una empresa cambia con frecuencia.

Por ejemplo, si una organización tiene 5.000 empleados y experimenta una tasa de crecimiento y rotación de empleados del 10%, el número total de tickets de aprovisionamiento sería de 1.500 (nuevos usuarios añadidos: 10% x 5000 = 500, usuarios que abandonan la organización: 10% x 5000 = 500, usuarios añadidos para cubrir los cargos existentes: 10% x 5000 = 500).

El tiempo medio necesario para aprovisionar una cuenta de usuario en Active Directory suele oscilar entre 5 y 30 minutos, dependiendo del número de atributos asociados a esa cuenta.

Compruebe en la siguiente tabla cómo estos cambios suponen un costo para la empresa.

En una organización con 5.000 empleados Para 1 ticket Para 1500 tickets
Tiempo medio necesario para aprovisionar una cuenta AD y otras identidades en la nube 15 minutos 375 horas
El salario medio por hora de un técnico de mesa de ayuda 22 dólares 22 dólares
Costo total de la utilización de herramientas nativas 5.50 dólares 8,250 dólares

¿Y si este costo puede reducirse a más del 70%? Presentamos AD360, una solución integrada de gestión de accesos e identidades (IAM) para gestionar las identidades de los usuarios, controlar el acceso a los recursos, garantizar el cumplimiento de la normativa y aplicar la seguridad en todo el Active Directory on-premises, los servidores Exchange y las aplicaciones en la nube desde una consola centralizada.

Cómo AD360 ayuda a reducir drásticamente los costos de aprovisionamiento y desaprovisionamiento de usuarios de Active Directory:

AD360 le permite aprovisionar automáticamente a varios usuarios en Active Directory on-premises, servidores Exchange y aplicaciones en la nube. Gracias a las plantillas de creación de usuarios integradas y a las funciones de actualización de CSV, la creación, la modificación y la gestión de los objetos pueden realizarse en pocos minutos. Estas plantillas también pueden personalizarse según las políticas de la organización.

En una organización con 5.000 empleados
El tiempo que requiere el administrador para crear múltiples plantillas de usuario [Esto es principalmente una actividad de una sola vez] 1 - 2 horas
El tiempo que necesita la mesa de ayuda para importar una lista de usuarios a una plantilla existente 1 minuto
El número de tickets que emite RR. HH (Aproximadamente). Supongamos que cada ticket incluye 10 detalles de nuevos usuarios 150 tickets

El tiempo total requerido para aprovisionar toda la lista de usuarios enviada por RR. HH en un año = 2 horas de tiempo de administración + 30 minutos de tiempo de mesa de ayuda para un total de 2,5 horas.

Esto significa que el costo total anual = [2 x el salario por hora de un administrador de TI] + [0,5 x el salario por hora de un técnico de la mesa de ayuda] + el costo de la suscripción anual del módulo de gestión de AD de AD360 que admite la automatización, o bien [2 x 32 dólares] + [0,5 x 22 dólares] + [1.795 dólares] = 1.870 dólares.

Para una organización con 1000 empleados Costo anual incurrido Porcentaje de ahorro
Antes de la automatización Después de la automatización
Aprovisionamiento y desaprovisionamiento de usuarios 8,250 dólares 1,870 dólares 77.33%

Cómo automatizar la creación de usuarios con AD360

El aprovisionamiento de cuentas de usuario de forma masiva mediante herramientas nativas de Active Directory (AD) o scripts de Windows PowerShell siempre ha sido tedioso y consume mucho tiempo, ya que requiere conocimientos profundos de scripting. Además, dado que los administradores de TI tienen que alternar a menudo entre varias consolas mientras aprovisionan los derechos de acceso a los nuevos empleados en Active Directory, Office 365, Exchange, Skype for Business y G Suite, hay mucho margen de error.

Con la ayuda de técnicas de aprovisionamiento de usuarios basadas en CSV, AD360 simplifica el aprovisionamiento masivo de usuarios para los administradores de TI.

Por ejemplo, si hay que incorporar a un grupo de empleados que comparten el mismo conjunto de permisos, AD360 simplifica este aprovisionamiento de usuarios permitiendo al administrador crear una plantilla para los permisos, especificar los nombres de los empleados y otros detalles en un archivo CSV e importarlo y, finalmente, aplicar la plantilla a todos los empleados especificados en el archivo CSV.

automate user creation

Cómo la automatización de IAM elimina el riesgo de errores humanos

Desde el momento en que los empleados se incorporan hasta que dejan la organización, el administrador de TI gestiona la cuenta de usuario. A menudo, el administrador tiene que crear una cuenta de usuario de AD, modificar sus propiedades cuando al empleado se le asigna un rol diferente, conceder los derechos de acceso adecuados y eliminar la cuenta de usuario cuando el empleado se da de baja.

Cada una de estas tareas de modificación es muy propensa a errores y consume mucho tiempo cuando se realiza con herramientas nativas de AD o con PowerShell.

Estos errores pueden evitarse si las tareas repetitivas de gestión de AD se automatizan de forma estándar con las plantillas de modificación de usuarios de AD360. Estas plantillas simplifican y automatizan el proceso de modificación de los atributos de las cuentas existentes de una sola vez.

Gracias a la función de importación de CSV, los administradores de TI pueden realizar tareas de modificación de cuentas de AD con sólo unos clics. Digamos que un administrador de TI tiene que modificar 100 cuentas de usuario, todo lo que tiene que hacer es aplicar la plantilla apropiada a la lista de usuarios, y los atributos deseados de las cuentas de usuario se modificarán automáticamente. Estas plantillas también pueden personalizarse en función de las diferentes políticas de la organización.

Estas plantillas también simplifican el proceso de aprovisionamiento de acceso a los empleados que cambian de departamento dentro de la organización.

Toda organización tiene varios departamentos, y los empleados de cada uno de ellos necesitan acceder a diferentes recursos en función de sus roles y responsabilidades.

Con AD360, un administrador de TI puede crear una plantilla para cada uno de estos departamentos. Cuando un empleado cambia de departamento, el administrador de TI sólo tiene que aplicar la plantilla adecuada a la cuenta de usuario y todos los nuevos privilegios de acceso necesarios se asignarán automáticamente, mientras que los anteriores se revocarán automáticamente.

Al utilizar estas plantillas que guardan los valores y formatos estándar de todos los atributos que son comunes a un grupo de empleados que comparten el mismo rol, AD360 ayuda a reducir drásticamente los errores humanos durante las operaciones de asignación de privilegios y accesos.

Cómo AD360 ayuda a automatizar la modificación de la pertenencia a un grupo

Al utilizar las plantillas de modificación de usuarios, la actualización de la pertenencia a los grupos de los empleados es mucho más fácil. Estas plantillas ayudan a automatizar el proceso de actualización de la pertenencia de los empleados a los grupos según el conjunto de reglas establecidas por el administrador de TI.

Por ejemplo, usted puede crear una regla para añadir el usuario al grupo "Diseñadores" si el cargo del usuario es "Diseñador gráfico". También puede actualizar o gestionar la pertenencia a un grupo de usuarios de forma masiva, importando un archivo CSV que contenga la lista de cuentas de usuario a modificar.

automating group membership modification

Cómo la automatización de la identidad cierra las brechas de seguridad

Cuando los empleados dejan su organización, sus cuentas de usuario suelen permanecer en Active Directory (AD) sin que se note. Las contraseñas de estas cuentas no se modifican, lo que puede dar lugar a un posible compromiso de la cuenta.

Eliminar el acceso de los antiguos empleados a los sistemas es un paso fundamental para mitigar los riesgos de futuras violaciones de la seguridad de los datos u otros incidentes de seguridad —Merritt Maxim, analista de Forrester.

La situación empeora si la cuenta del usuario privilegiado es residual.

Por eso es crucial identificar las cuentas inactivas y depurarlas inmediatamente. Sin embargo, la única manera de garantizar que todas las cuentas inactivas se eliminen inmediatamente es automatizando el proceso. Aunque el AD nativo tiene opciones para localizar y eliminar las cuentas de usuario inactivas, no puede eliminarlas de forma masiva ni automatizar el proceso.

AD360 le permite generar fácilmente una lista de todas las cuentas de usuario inactivas, las cuentas de usuario deshabilitadas y las cuentas de usuario caducadas a modo de informes. A partir de estos informes, puede eliminar o desactivar estas cuentas de forma masiva al instante. Si es necesario, también puede moverlas a una unidad organizativa separada, ponerlas en cuarentena durante el periodo que desee y, finalmente, eliminarlas. Lo mejor de todo es que puede automatizar estas tareas y especificar la frecuencia con la que quiere que se ejecute esta automatización.

automatic ad clean up

  • 1
     

    Agregue múltiples reglas en función de las modificaciones a realizar

    1
     

    Establezca la condición que se debe comprobar al modificar el usuario

    1
     

    Elija el valor que debe asignarse a los usuarios

    privileged access monitoring

    Agregue múltiples reglas en función de las modificaciones a realizar

    Establezca la condición que se debe comprobar al modificar el usuario

    Elija el valor que debe asignarse a los usuarios

  • 1
     

    Seleccione la OU en la que los usuarios inactivos deben ser puestos en cuarentena y elija la acción a realizar sobre los usuarios en cuarentena.

    1
     

    Elija la siguiente acción a realizar en los usuarios en cuarentena y cuándo.

    1
     

    Especifique la acción final que se realizará sobre los usuarios inactivos en cuarentena durante el número de días elegido

    audit privilege use

    Seleccione la OU en la que los usuarios inactivos deben ser puestos en cuarentena y elija la acción a realizar sobre los usuarios en cuarentena.

    Especifique la acción final que se realizará sobre los usuarios inactivos en cuarentena durante el número de días elegido

  • 1
     

    Elija de la lista de plantillas de creación de usuarios

    1
     

    Introduzca la ruta del archivo CSV

    1
     

    Especifique el intervalo de tiempo en el que debe realizarse la tarea de creación de usuarios

    privileged account monitoring

    Elija de la lista de plantillas de creación de usuarios

    Introduzca la ruta del archivo CSV

    Especifique el intervalo de tiempo en el que debe realizarse la tarea de creación de usuarios

Cómo se ocupa AD360 de sus necesidades de IAM

  • Protección de la identidad con UBA

    Detecte, investigue y mitigue amenazas como inicios de sesión maliciosos, movimientos laterales, ataques de malware y abuso de privilegios con el UBA basado en machine learning; automatice su respuesta a las amenazas.

    Conozca más →
  • Gestión del ciclo de vida de la identidad

    Agilice la gestión de identidades a lo largo de todo el ciclo de vida de los usuarios, desde el aprovisionamiento hasta los cambios de rol y el desaprovisionamiento.

    Conozca más →
  • Autenticación multi factor

    Aumente la confianza en las identidades y mitigue los ataques de suplantación de identidad utilizando métodos biométricos, aplicaciones de autenticación y otros métodos avanzados de autenticación.

    Conozca más →
  • IAM híbrida

    Gestione de forma centralizada las identidades on-premises y en la nube, o ambas, y controle sus privilegios desde una única consola.

    Conozca más →
  • Análisis de identidades

    Utilice más de 1.000 informes preconfigurados para monitorear el acceso a datos cruciales y satisfacer las exigencias de cumplimiento.

    Conozca más →

Transforme su IAM con AD360

AD360 le ayuda a simplificar la IAM en su entorno de TI, proporcionando a los usuarios un acceso rápido a los recursos que necesitan y estableciendo al mismo tiempo estrictos controles de acceso para garantizar la seguridad en todo el Active Directory on-premises, los servidores Exchange y las aplicaciones en la nube desde una consola centralizada.

Solicitud de demostración recibida

Gracias por el interés en ManageEngine AD360. Hemos recibido su solicitud de demostración personalizada y nos comunicaremos con usted a la brevedad.

Reciba una presentación personalizada del producto

Please enter business email address
  •  
  • Al hacer clic en 'Programe una demostración personalizada 1:1', usted acepta que sus datos personales sean tratados de acuerdo con la Política de Privacidad.

© 2021 Zoho Corporation Pvt. Ltd. All rights reserved.

5 pain points in AD user account management

From the moment an employee is onboarded until they leave the organization, the IT administrator is responsible for managing the user's account. Although this sounds fairly uncomplicated, using just the native AD tools to accomplish them is time-consuming and tedious.

In this e-book, we will discuss:
  • Five common AD user management pain points.
  • How to overcome these pain points the easy way.
  • One-stop solution to all your AD user management needs.
  • Please enter a business email id
  •  
  •  
    By clicking 'Get Your Free Trial!', you agree to processing of personal data according to the Privacy Policy.