Automatización de IAM

Cómo la automatización de la IAM ofrece un mayor ROI

Cuando se contrata a los empleados, hay que establecer su cuenta, lo que incluye la configuración de los atributos de los usuarios, los buzones de correo, las carpetas de inicio, etc. Asimismo, cuando los empleados abandonan la organización, todo su acceso a los recursos de TI debe ser revocado sin falta.

El aprovisionamiento y desprovisionamiento de usuarios en las diferentes plataformas, especialmente en entornos físicos, virtuales y en la nube, es complejo. Como resultado, el aprovisionamiento y el desaprovisionamiento de usuarios en estos servicios de nube en silos de forma masiva se vuelve más complejo, propenso a errores y manualmente exhaustivo.

La complejidad aumenta si la nómina de RR. HH de una empresa cambia con frecuencia.

Por ejemplo, si una organización tiene 5.000 empleados y experimenta una tasa de crecimiento y rotación de empleados del 10%, el número total de tickets de aprovisionamiento sería de 1.500 (nuevos usuarios añadidos: 10% x 5000 = 500, usuarios que abandonan la organización: 10% x 5000 = 500, usuarios añadidos para cubrir los cargos existentes: 10% x 5000 = 500).

El tiempo medio necesario para aprovisionar una cuenta de usuario en Active Directory suele oscilar entre 5 y 30 minutos, dependiendo del número de atributos asociados a esa cuenta.

Compruebe en la siguiente tabla cómo estos cambios suponen un costo para la empresa.

En una organización con 5.000 empleados	Para 1 ticket	Para 1500 tickets
Tiempo medio necesario para aprovisionar una cuenta AD y otras identidades en la nube	15 minutos	375 horas
El salario medio por hora de un técnico de mesa de ayuda	22 dólares	22 dólares
Costo total de la utilización de herramientas nativas	5.50 dólares	8,250 dólares

¿Y si este costo puede reducirse a más del 70%? Presentamos AD360, una solución integrada de gestión de accesos e identidades (IAM) para gestionar las identidades de los usuarios, controlar el acceso a los recursos, garantizar el cumplimiento de la normativa y aplicar la seguridad en todo el Active Directory on-premises, los servidores Exchange y las aplicaciones en la nube desde una consola centralizada.

Cómo AD360 ayuda a reducir drásticamente los costos de aprovisionamiento y desaprovisionamiento de usuarios de Active Directory:

AD360 le permite aprovisionar automáticamente a varios usuarios en Active Directory on-premises, servidores Exchange y aplicaciones en la nube. Gracias a las plantillas de creación de usuarios integradas y a las funciones de actualización de CSV, la creación, la modificación y la gestión de los objetos pueden realizarse en pocos minutos. Estas plantillas también pueden personalizarse según las políticas de la organización.

En una organización con 5.000 empleados
El tiempo que requiere el administrador para crear múltiples plantillas de usuario [Esto es principalmente una actividad de una sola vez]	1 - 2 horas
El tiempo que necesita la mesa de ayuda para importar una lista de usuarios a una plantilla existente	1 minuto
El número de tickets que emite RR. HH (Aproximadamente). Supongamos que cada ticket incluye 10 detalles de nuevos usuarios	150 tickets

El tiempo total requerido para aprovisionar toda la lista de usuarios enviada por RR. HH en un año = 2 horas de tiempo de administración + 30 minutos de tiempo de mesa de ayuda para un total de 2,5 horas.

Esto significa que el costo total anual = [2 x el salario por hora de un administrador de TI] + [0,5 x el salario por hora de un técnico de la mesa de ayuda] + el costo de la suscripción anual del módulo de gestión de AD de AD360 que admite la automatización, o bien [2 x 32 dólares] + [0,5 x 22 dólares] + [1.795 dólares] = 1.870 dólares.

Para una organización con 1000 empleados	Costo anual incurrido		Porcentaje de ahorro
	Antes de la automatización	Después de la automatización
Aprovisionamiento y desaprovisionamiento de usuarios	8,250 dólares	1,870 dólares	77.33%

Cómo automatizar la creación de usuarios con AD360

El aprovisionamiento de cuentas de usuario de forma masiva mediante herramientas nativas de Active Directory (AD) o scripts de Windows PowerShell siempre ha sido tedioso y consume mucho tiempo, ya que requiere conocimientos profundos de scripting. Además, dado que los administradores de TI tienen que alternar a menudo entre varias consolas mientras aprovisionan los derechos de acceso a los nuevos empleados en Active Directory, Office 365, Exchange, Skype for Business y G Suite, hay mucho margen de error.

Con la ayuda de técnicas de aprovisionamiento de usuarios basadas en CSV, AD360 simplifica el aprovisionamiento masivo de usuarios para los administradores de TI.

Por ejemplo, si hay que incorporar a un grupo de empleados que comparten el mismo conjunto de permisos, AD360 simplifica este aprovisionamiento de usuarios permitiendo al administrador crear una plantilla para los permisos, especificar los nombres de los empleados y otros detalles en un archivo CSV e importarlo y, finalmente, aplicar la plantilla a todos los empleados especificados en el archivo CSV.

Cómo la automatización de IAM elimina el riesgo de errores humanos

Desde el momento en que los empleados se incorporan hasta que dejan la organización, el administrador de TI gestiona la cuenta de usuario. A menudo, el administrador tiene que crear una cuenta de usuario de AD, modificar sus propiedades cuando al empleado se le asigna un rol diferente, conceder los derechos de acceso adecuados y eliminar la cuenta de usuario cuando el empleado se da de baja.

Cada una de estas tareas de modificación es muy propensa a errores y consume mucho tiempo cuando se realiza con herramientas nativas de AD o con PowerShell.

Estos errores pueden evitarse si las tareas repetitivas de gestión de AD se automatizan de forma estándar con las plantillas de modificación de usuarios de AD360. Estas plantillas simplifican y automatizan el proceso de modificación de los atributos de las cuentas existentes de una sola vez.

Gracias a la función de importación de CSV, los administradores de TI pueden realizar tareas de modificación de cuentas de AD con sólo unos clics. Digamos que un administrador de TI tiene que modificar 100 cuentas de usuario, todo lo que tiene que hacer es aplicar la plantilla apropiada a la lista de usuarios, y los atributos deseados de las cuentas de usuario se modificarán automáticamente. Estas plantillas también pueden personalizarse en función de las diferentes políticas de la organización.

Estas plantillas también simplifican el proceso de aprovisionamiento de acceso a los empleados que cambian de departamento dentro de la organización.

Toda organización tiene varios departamentos, y los empleados de cada uno de ellos necesitan acceder a diferentes recursos en función de sus roles y responsabilidades.

Con AD360, un administrador de TI puede crear una plantilla para cada uno de estos departamentos. Cuando un empleado cambia de departamento, el administrador de TI sólo tiene que aplicar la plantilla adecuada a la cuenta de usuario y todos los nuevos privilegios de acceso necesarios se asignarán automáticamente, mientras que los anteriores se revocarán automáticamente.

Al utilizar estas plantillas que guardan los valores y formatos estándar de todos los atributos que son comunes a un grupo de empleados que comparten el mismo rol, AD360 ayuda a reducir drásticamente los errores humanos durante las operaciones de asignación de privilegios y accesos.

Cómo AD360 ayuda a automatizar la modificación de la pertenencia a un grupo

Al utilizar las plantillas de modificación de usuarios, la actualización de la pertenencia a los grupos de los empleados es mucho más fácil. Estas plantillas ayudan a automatizar el proceso de actualización de la pertenencia de los empleados a los grupos según el conjunto de reglas establecidas por el administrador de TI.

Por ejemplo, usted puede crear una regla para añadir el usuario al grupo "Diseñadores" si el cargo del usuario es "Diseñador gráfico". También puede actualizar o gestionar la pertenencia a un grupo de usuarios de forma masiva, importando un archivo CSV que contenga la lista de cuentas de usuario a modificar.

Cómo la automatización de la identidad cierra las brechas de seguridad

Cuando los empleados dejan su organización, sus cuentas de usuario suelen permanecer en Active Directory (AD) sin que se note. Las contraseñas de estas cuentas no se modifican, lo que puede dar lugar a un posible compromiso de la cuenta.

La situación empeora si la cuenta del usuario privilegiado es residual.

Por eso es crucial identificar las cuentas inactivas y depurarlas inmediatamente. Sin embargo, la única manera de garantizar que todas las cuentas inactivas se eliminen inmediatamente es automatizando el proceso. Aunque el AD nativo tiene opciones para localizar y eliminar las cuentas de usuario inactivas, no puede eliminarlas de forma masiva ni automatizar el proceso.

AD360 le permite generar fácilmente una lista de todas las cuentas de usuario inactivas, las cuentas de usuario deshabilitadas y las cuentas de usuario caducadas a modo de informes. A partir de estos informes, puede eliminar o desactivar estas cuentas de forma masiva al instante. Si es necesario, también puede moverlas a una unidad organizativa separada, ponerlas en cuarentena durante el periodo que desee y, finalmente, eliminarlas. Lo mejor de todo es que puede automatizar estas tareas y especificar la frecuencia con la que quiere que se ejecute esta automatización.