¡No se preocupe más! Aquí le enseñamos algunos trucos sencillos que garantizarán la rapidez, seguridad y eficiencia de la administración de identidades y privilegios.

  • Agilice la administración de privilegios
  • Otorgar solo el acceso necesario
  • Automatice el desaprovisionamiento
  • Bloquee las cuentas inactivas
  • Descentralice la IAM

Estandarice y agilice la administración de privilegios.

Al crear o administrar identidades, a muchos administradores de TI les preocupa asignar permisos excesivos a los usuarios y grupos que puedan conllevar consecuencias graves, como los ataques internos o la filtración de información. Estos riesgos de seguridad podrían ser más preocupantes si no se asignan conjuntos de permisos predefinidos a cada función.

Una solución sencilla consiste en diseñar plantillas estandarizadas con los permisos y membresías requeridos de grupo para todas las funciones, especialmente las funciones privilegiadas. Puede utilizar esa plantilla cada vez que cree o modifique una cuenta de usuario.

Asigne los permisos que necesite, solo cuando sea necesario.

Cuando de administrar permisos y derechos se trata, muchos administradores de TI se ven en el dilema de decidir “cuándo es demasiado” y esta situación no puede ser ignorada. Asignar permisos de forma incorrecta podría generar consecuencias desastrosas si la información confidencial llega a las manos equivocadas.

Para evitar esta situación, siga esta regla general: asigne permisos mínimos y revoque los privilegios adicionales cuando ya no se necesiten o luego de un plazo específico. Para decidir cuáles son los permisos mínimos y por cuánto tiempo se necesitan los permisos especiales, consulte a los propietarios de los procesos comerciales o al departamento de Recursos Humanos. Administrar los permisos será mucho más fácil si adopta una solución que lo permita asignar permisos y revocarlos después de cierto tiempo de manera automática.

Automatice la limpieza de cuentas obsoletas.

Si no aplica el proceso de desvinculación laboral de manera estricta, los antiguos empleados podrían seguir teniendo acceso a cuentas de usuario y recursos cruciales. Si el desaprovisionamiento es poco frecuente e irregular, esto podría conducir a la acumulación excesiva de cuentas obsoletas que podrían poner en peligro la seguridad de su organización.

Programe el desaprovisionamiento de cuentas para que se realice de manera automática en ciertos intervalos y así mantener su entorno de AD libre de cuentas obsoletas. También debería sincronizar su AD con el software o base de datos de recursos humanos, ya que de esta forma si una cuenta de usuario es borrada en alguna de estas herramientas, también será borrada de AD.

Identifique y ponga en cuarentena a los usuarios inactivos periódicamente.

Un usuario podría estar inactivo si el empleado se ausenta por un largo tiempo o si el administrador de TI olvida deshabilitar la cuenta de un antiguo empleado. Para agilizar el proceso de vinculación laboral, algunas organizaciones crean cuentas de usuario con la misma contraseña antes de que los empleados se incorporen a la empresa. Esto puede causar que las cuentas inactivas sean usadas indebidamente por los empleados actuales. Es importante hacer un seguimiento a la inactividad de los usuarios y deshabilitar sus respectivas cuentas para evitar ataques internos; se pueden deshabilitar las cuentas de usuario o se pueden revocar los privilegios innecesarios para evitar el uso indebido.

Descentralice la IAM de manera segura

Si sobrecarga al administrador de TI con tareas de IAM, esto podría delegar demasiada responsabilidad de seguridad a una sola persona. Además, podría conllevar errores debido a la fatiga (errores tipográficos), y podría resultar en modificaciones a las cuentas incorrectas o asignaciones incorrectas de permisos, entre otras cosas.

Por lo tanto, sugerimos delegar las tareas de IAM a varios técnicos de TI para distintos departamentos. Mejor aún, puede monitorear las actividades diarias de un técnico de TI y corregir las que sean inapropiadas.

Este es un resumen general de las funciones de ADManager Plus que solucionan los problemas mencionados anteriormente:

  • Aprovisionamiento basado en plantillas Aprovisionamiento basado en plantillas con ADManager Plus
  • Asignación del acceso estrictamente necesario Asignación del acceso estrictamente necesario con ADManager Plus
  • Limpieza automática Limpieza automática de Active Directory con ADManager Plus
  • Informes sobre los usuarios inactivos Informes sobre los usuarios inactivos con ADManager Plus
  • Delegación basada en la unidad organizativa Delegación basada en la unidad organizativa con ADManager Plus
1
 

Cree plantillas personalizadas para generar o modificar usuarios.

2
 

Atributos que se auto llenan con la ayuda de condiciones.

3
 

Defina la duplicación proactivamente.

Plantilla de creación de usuarios de Active Directory en ADManager Plus
1
 

Ajuste o modifique los permisos de NTFS de forma granular.

2
 

Vea permisos existentes y modificados para una carpeta específica.

Gestión de permisos de Active Directory en ADManager Plus
1
 

Defina tareas que se deben realizar durante la limpieza.

2
 

Busque de forma automática a usuarios que deben eliminarse mediante informes o un archivo CSV.

3
 

Defina tareas que se deben realizar durante la limpieza.

Automatización de Active Directory programada en ADManager Plus
1
 

Busque de forma automática a usuarios que deben eliminarse mediante informes o un archivo CSV.

2
 

Tome medidas correctivas.

Informes de usuarios de Active Directory inactivos en ADManager Plus
1
 

Delegue UO específicas a un técnico en particular.

2
 

Asigne plantillas que se van a usar para realizar la tarea delegada.

Delegación de roles por dominio en ADManager Plus

Enlaces relacionados

© 2019 Zoho Corporation Pvt. Ltd. Todos los derechos reservados.