En materia de la administración de las identidades y derechos de acceso de los usuarios, Active Directory (AD) desempeña una función fundamental. Los cambios hechos en AD no solo impactan a la seguridad de la organización, sino que también afectan su cumplimiento de las regulaciones de TI. No sorprende que los auditores de cumplimiento estén dispuestos a revisar las actividades realizadas en AD.
El castigo por el incumplimiento puede resultar en multas cuantiosas, así como en la pérdida de la confianza de los clientes y organizaciones. Es mejor verificar de forma proactiva y regular la postura de cumplimiento de su organización para evitar los nervios de último minuto que podría experimentar por una auditoría de cumplimiento.
A continuación, hay cinco señales que indican que hay una posibilidad de una violación de cumplimiento:
Sin cambios en el sistema de administración
Sin privilegios basados en funciones
Arrastre de privilegios
Falta de revisión periódica
Acumulación de cuentas antiguas
Hacer cambios en los permisos de AD sin revisarlos primero puede exponer sin intención datos comerciales sensibles a vulnerabilidades de seguridad. Es esencial tener una política de control de acceso en funcionamiento para cada acción crítica en AD con el fin de prevenir que los usuarios obtengan privilegios no autorizados. La mejor práctica es seguir un proceso de revisión en el que un administrador evalúa cada solicitud de cambio de usuario antes de su transferencia a un administrador de TI. Un administrador de TI o líder de equipo debe revisar cada solicitud, como acceso a recursos compartidos críticos o cambios a la membresía de un grupo para asegurar que los recursos de la empresa no se vean comprometidos.
ADManager Plus de ManageEngine cuenta con flujos de trabajo personalizables que le ayudarán a optimizar y monitorear las tareas de AD. Con esta capacidad, los usuarios pueden generar solicitudes para acceder a recursos que una autoridad designada puede revisar antes de que el administrador de TI ejecute la tarea.
De forma rutinaria, los administradores de TI crean cuentas de usuario, les asignan los permisos correspondientes y modifican los privilegios existentes. Si no hay una lista de verificación que contenga los detalles del acceso del usuario por departamento, los administradores de TI no podrán dar permisos para los usuarios de manera uniforme. Algunas veces, se añade a los usuarios en grupos equivocados, lo que puede conllevar a que los usuarios tengan permisos excesivos o menos privilegios de los que requieren para su función.
Por ejemplo, un empleado en mercadeo y un empleado en RR. HH. deben tener permisos para diferentes recursos específicos para su función. De forma similar, cuando se transfiere a usuarios a diferentes ubicaciones, únicamente debe dárseles acceso a los recursos que su trabajo demande.
ADManager Plus tiene plantillas personalizables para optimizar la creación y modificación de objetos de AD; también se pueden definir funciones y atributos con base en los grupos de seguridad, horas de inicio de sesión y detalles de contacto que pueden actualizarse de forma automática basados en el departamento o función. Más información.
Cuando los usuarios se unen a la organización, los administradores de TI les dan permisos para acceder a los recursos correspondientes para su función de trabajo. A lo largo del tiempo, para diferentes tareas o proyectos, los usuarios podrían obtener permisos a diferentes recursos. Estos derechos de acceso deben revocarse luego de que se complete la tarea. Es una buena práctica para los administradores de TI revisar de forma periódica todos los derechos de acceso de los usuarios por función frente a una lista de verificación de permisos. Los usuarios podrían tener acceso a grupos de seguridad de alto nivel o carpetas y archivos críticos que ya no son necesarios para su función. De forma periódica, rastrear todos los permisos asignados a los usuarios para un proyecto específico y revocarlos luego de que se complete resuelve este problema; no obstante, esta tarea puede ser tediosa.
ADManager Plus ofrece una característica de administración de permisos en grupos automatizada y con plazos definidos, de forma que los administradores de TI puedan asignar usuarios a los grupos específicos y revocarlos luego de un periodo específico de tiempo. Además, la herramienta proporciona informes predefinidos sobre NTFS y permisos de recursos compartidos, de forma que puede identificar servidores y recursos compartidos en su organización y verificar el nivel de acceso que cada usuario o grupo tiene a ellos.
¿Está preparando informes para funcionarios de cumplimiento en el último minuto? Es esencial identificar accesos no autorizados a archivos y carpetas críticos con antelación, de forma que pueda tomar medidas correctivas y evitar problemas de incumplimiento. Una mejor práctica recomendada es verificar de forma periódica los permisos de acceso. Si no se tiene información sobre quién puede acceder a carpetas sensibles y quién reside en qué grupos de seguridad, es solo cuestión de tiempo antes de que los datos de su organización estén en riesgo. La mayoría de las herramientas locales no ofrecen la flexibilidad de obtener información granular de AD mediante informes. Las alertas de tiempo real sobre cuándo se cambia una cuenta de usuario, grupo de seguridad o una contraseña le pueden incitar a tomar una medida inmediata.
ADManager Plus proporciona informes procesables y predefinidos para las regulaciones de cumplimiento PCI DSS, SOX, HIPAA, GLBA, GDPR y FISMA. También puede automatizar todo el proceso de presentación de informes de cumplimiento al programar el envío de los mismos a los interesados claves responsables de administrar programas de cumplimiento.
La gestión interna de TI es una parte importante para prevenir ataques que pretendan obtener acceso no autorizado a los recursos de una organización. Las cuentas de usuarios y computadores inactivos son puntos de acceso para los atacantes cibernéticos que buscan acceder a cuentas con permisos elevados o de forma remota a archivos sensibles y datos financieros. También es riesgoso dejar sin protección a los grupos de seguridad que otorgan permisos.
Con ADManager Plus, se puede automatizar la cancelación de permisos para identificar los objetos inactivos, retirar sus privilegios, moverlos a una ubicación distinta y borrar sus cuentas. Para simplificar este proceso, la característica de política de Deshabilitar/Eliminar en ADManager Plus le permite eliminar cuentas asociadas de Office 365 y Google WorkSpace, exportar el buzón del usuario a una ubicación específica y revocar licencias aplicables de software.
Descargue una prueba gratuita de 30 días para probar estas funciones y disfrutar de todos los beneficios que ofrece ADManager Plus.
Descargar¿Necesita un recorrido gratuito del producto?
Hable con nuestros expertos hoy.¿Desea aprender más sobre cómo manejar la EA? Obtenga información sobre evitar los cinco errores de seguridad más comunes que se cometen durante la administración de AD.